Contents
Baru-baru ini sedang mewabah memcached amplification attack pada Zimbra seperti yang sudah diberitakan di https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211 . Jika server Zimbra sudah terkena serangan ini akan berdampak flooding atau banjirnya traffic bandwidth dari server Zimbra mengarah keluar / outgoing hingga mencapai 40 Mbps bahkan lebih seperti monitor traffic berikut.
Memperbaiki Memcached Amplification Attack Zimbra
Jalankan perintah berikut untuk memperbaiki serangan dengan menggunakan user zimbra. Jika infrastruktur zimbra anda adalah multi server, jalankan perintah berikut pada server proxy.
1 2 3 |
zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1 zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1 zmcontrol restart |
Pastikan kembali service memcached sudah listen hanya untuk dirinya sendiri atau localhost (127.0.0.1) dengan menggunakan perintah berikut.
1 |
netstat -tulpn |grep 11211 |
Maka akan terlihat seperti berikut.
1 2 |
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 2879/memcached udp 0 0 127.0.0.1:11211 0.0.0.0:* 2879/memcached |
Rekomendasi
- Hanya membukakan port-port seperti 80, 443, 25, 465, 587, 143, 993, 110, 995 yang hanya dibutuhkan oleh user. Selebihnya DROP atau BLOCK.
- Menempatkan server-server proxy Zimbra pada segment DMZ atau dibatasi oleh firewall yang memiliki fitur IPS/IDS
Bagi Kamu Yang Ingin Mendapatkan Penawaran Incident Support atau Local Support Untuk Perusahaan/Institusi Kamu Saat Ini. Silahkan klik dibawah ini dan tuliskan pesan di layanan chat yang tersedia