Showing posts with label zimbra. Show all posts
Showing posts with label zimbra. Show all posts

Thursday, March 22, 2018

Menangani server zimbra yang melakukan flooding dengan src port 11211(Memcached)

Bismillah ,

Kemarin mail server kami melakukan flooding dengan traffic yang bisa sampai 1Gbps

dan membuat semua interface di mikrotik meng-restart (disable-enable) sehingga jaringan menjadi down . Awal kami sempat kebingungan apa penyebab semua interface router tiba tiba disable enable sendiri , langkah awal kami coba untuk melakukan troubleshooting dengan cara trial error melepas satu satu kabel yang terkoneksi langsung ke router , dan ketika kami melepas kebel yang mengarah ke mail server kabel interface router kembali normal (problem ada di mail server ) .

hasil di mail server terdapat historical lonjakan trafic yang sanga besar dari interface  ,



kami simpulkan penyebab interface router mendisable/enable secara tiba tiba karena kriman flooding traffic dari mail server. untuk menangani nya langkah awal kami install iftop yang nanti nya di gunakan untuka menganalisa traffik yang lewat di interface mail server .



dapat di lihat flooding zimbra ini dengan src port 11211 dan jka kita cari port 11211  merupakan port memcached , flooding port tersebut merupakan jenis serangan baru yang pertama publish dari cloudflare  https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/ di publish tgl 27 Feb 2018 by Marek Majkowski , jadi  problem ada di memchaced zimbra ( https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack ) .

sesuai dengan solusi di wiki zimbra di atas maka kita akan aktifkan firewall di ubuntu dan bind memcached hanya untuk localhost,
su - zimbra
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1 
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1

zmmemcachedctl restart

aktifkan firewall di ubuntu
root@mail:~# ufw enable

buat file untuk rule firewal zimbra
root@mail:~# pico /etc/ufw/applications.d/zimbra

buat rule seperti berikut di file /etc/ufw/applications.d/zimbra
[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcp

port di atas adalah port port yang di butuhkan untuk zimbra dan server (rule di atas adalah white list port ) jadi sebelum anda enable rule nya pastikan port ssh anda sudah di masukan dalam whitelist.
allow zimbra
 root@mail:~# ufw allow zimbra

drop semua koneksi ke port 11211
root@mail:~# ufw deny 11211

Accept koneksi ke 11211 dari localhost
root@mail:~# ufw allow from 127.0.0.1 to any port 11211

aktifkan ufw
root@mail:~# ufw enable

untuk melihat status ufw
root@mail:~# ufw status verbose
WARN: "Invalid ports in profile 'Zimbra'"
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To Action From
-- ------ ----
22,25,80,110,143,161,389,443,465,514,587,993,995,7071,11211/tcp (Zimbra) ALLOW IN Anywhere 
11211 DENY IN Anywhere 
11211 ALLOW IN 127.0.0.1 
5666 ALLOW IN Anywhere 
8443 ALLOW IN Anywhere 
22,25,80,110,143,161,389,443,465,514,587,993,995,7071,11211/tcp (Zimbra (v6)) ALLOW IN Anywhere (v6) 
11211 (v6) DENY IN Anywhere (v6) 
5666 (v6) ALLOW IN Anywhere (v6) 
8443 (v6) ALLOW IN Anywhere (v6)

root@mail:~#

grafik setelah beberapa hari dilakukan penanganan di atas



trafik kembali normal , alhamdulillah :)

referensi

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack

https://blog.grs.gr/language/en/protect-zimbra-from-memcached-attack/
Posted by at No comments:
Labels: , , , , , , , , , ,

Monday, July 10, 2017

Install CBPolicyD di Zimbra 8.7

Bismillah ,...

Pertama pindah ke user zimbra
su zimbra

Aktivasi CBpolicyD
zimbra@mail:/root$ zmpro
zmprov zmprov.java zmproxyconf zmproxyctl 
zimbra@mail:/root$ zmprov ms `zmhostname` +zimbraServiceInstalled cbpolicyd +zimbraServiceEnabled cbpolicyd
zimbra@mail:/root$ zmprov mcf +zimbraMtaRestriction "check_policy_service inet:127.0.0.1:10031"

Aktivasi CBpolicyD Web UI

jalankan perintah di bawah ini sebagai root
root@mail:~# cd /opt/zimbra/
backup/ db/ jetty-distribution-9.3.5.v20151012/ redolog/ zimlets-deployed/
bin/ docs/ lib/ .saveconfig/ zmstat/
common/ extensions-extra/ libexec/ .ssh/ 
conf/ fbqueue/ log/ ssl/ 
contrib/ index/ logger/ store/ 
data/ jetty/ mailboxd/ zimlets/ 
root@mail:~# cd /opt/zimbra/data/httpd/htdocs/ && ln -s ../../../common/share/webui
root@mail:/opt/zimbra/data/httpd/htdocs#

Edit file " /opt/zimbra/cbpolicyd/share/webui/includes/config.php " rubah seperti berikut
<?php

# mysql:host=xx;dbname=yyy
#
# pgsql:host=xx;dbname=yyy
#
# sqlite:////full/unix/path/to/file.db?mode=0666
#
#$DB_DSN="sqlite:////tmp/cluebringer.sqlite";
#$DB_DSN="mysql:host=localhost;dbname=cluebringer";
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="root";
#$DB_PASS="";
$DB_TABLE_PREFIX="";


#
# THE BELOW SECTION IS UNSUPPORTED AND MEANT FOR THE ORIGINAL SPONSOR OF V2
#

#$DB_POSTFIX_DSN="mysql:host=localhost;dbname=postfix";
#$DB_POSTFIX_USER="root";
#$DB_POSTFIX_PASS="";

?>

save dan exit , kemudian restart service zimbra dan service zimbra apache
root@mail:/opt/zimbra/data/httpd/htdocs# su zimbra
zimbra@mail:~/data/httpd/htdocs$ zmcontrol restart
Host mail.mail.com
 Stopping zmconfigd...Done.
 Stopping zimlet webapp...Done.
 Stopping zimbraAdmin webapp...Done.
 Stopping zimbra webapp...Done.
 Stopping service webapp...Done.
 Stopping stats...Done.
 Stopping mta...Done.
 Stopping spell...Done.
 Stopping snmp...Done.
 Stopping cbpolicyd...Done.
 Stopping archiving...Done.
 Stopping opendkim...Done.
 Stopping amavis...Done.
 Stopping antivirus...Done.
 Stopping antispam...Done.
 Stopping proxy...Done.
 Stopping memcached...Done.
 Stopping mailbox...Done.
 Stopping logger...Done.
 Stopping dnscache...Done.
 Stopping ldap...Done.
Host mail.mail.com
 Starting ldap...Done.
 Starting zmconfigd...Done.
 Starting logger...Done.
 Starting mailbox...Done.
 Starting memcached...Done.
 Starting proxy...Done.
 Starting amavis...Done.
 Starting antispam...Done.
 Starting antivirus...Done.
 Starting opendkim...Done.
 Starting cbpolicyd...Done.
 Starting snmp...Done.
 Starting spell...Done.
 Starting mta...Done.
 Starting stats...Done.
 Starting service webapp...Done.
 Starting zimbra webapp...Done.
 Starting zimbraAdmin webapp...Done.
 Starting zimlet webapp...Done.
zimbra@mail:~/data/httpd/htdocs$ zmapachectl restart
Stopping apache...done.
Starting apache...done.
zimbra@mail:~/data/httpd/htdocs$

kemudian coba akses CBpolicyD Web UI nya di http://ipserver:7780/webui/index.php

Screenshot from 2017-07-10 14-47-29

 

Sumber :

https://imanudin.net/2016/03/11/zimbra-tips-how-to-enable-spf-checking-for-incoming-connection/

https://imanudin.com/2014/10/16/tips-mengaktifkan-cbpolicyd-pada-zimbra-8-5/

 
Posted by at No comments:
Labels: , , , , ,

Wednesday, August 31, 2016

Di paksa ganti password di mail zimbra

berikut langkah ketika kita akan masuk ke webmail client zimbra dan sudah memasukan password dengan baik dan benar :)  ,  tapi malah muncul tampilan sebagai berikut

1

tampilan tersebut , menunjukan kita di suruh ganti password,  di zimbra mail server ada mekanisme keamanan password yang bisa di set ketika beberapa bulan sekali dia akan meminta ganti password terhadap semua account mail yang ada,  jadi langkah yang harus di lakukan adalah memasukan password baru seperti ini

2

 

selamat mencoba , semoga bermanfaat :)
Posted by at No comments:
Labels: , ,
Subscribe to: Posts (Atom)