Öncelikle teknik altyapıyı merak edenler için zimbra zafiyetinin ilk defa duyurulduğu makaleye şu adresten ulaşabilirsiniz.
En önemli soruyla başlayalım, sunucunuz zafiyetten etkilendiyse bunu nasıl tespit edebilirsiniz? Kullanıcı forumlarını baz alırsak yaygın durum etkilenen sunucuların kripto madencilik yaptığı yönünde. Fakat zafiyet, zimbra kullanıcısı gibi yetki seviyesi yüksek bir erişime izin verdiği için eposta sunucusu içerisindeki tüm verilerin etkilendiğini varsaymak (eposta içerikleri istismar edilebilir, hesaplar eklenebilir/silinebilir vb) daha doğru olacaktır.
Saldırıya maruz kalan server için temel olarak şu iki soru sorulmalı:
Elbette saldırı daha spesifik bir amaç için gerçekleştirilmiş ve bir belirti göstermiyor olabilir. Bu nedenle istisnasız tüm Zimbra sunucuların yamasının yapılması gerekiyor. Fakat patch sadece saldırıyı önlüyor, istismar edilmiş bir sunucuyu tamamen güvene almak için halihazırda yüklenmiş olan exploit ve payloadlar silinmeli, crontab ayarları güncellemeli ve son olarak varsa processlerini sonlandırmak gerekli.
Öncelikle kullandığınız Zimbra sürümü için yayınlanan yamayı yapmalısınız eğer yama yoksa veya kullandığınız sürüm güncelliğini yitirmişse son sürüme güncelleme/taşıma yapmanızı öneriyoruz.
Kullanıcıların bir şeylerin ters gittiğini anlamaya başladıkları iki ana şikayet mevcut, bunları yukarıda 2 madde halinde bulabilirsiniz.
Eğer Eposta Web arayüzüne erişemiyorsanız, görseldeki gibi anlamsız bir izin durumu mevcut mu kontrol edebilirsiniz.
Bu sorun için Zimbra’nın kendi scriptini kullanabilirsiniz. Eğer script tek başına çözüm olmuyorsa aşağıdaki komutları da uygulayabilirsiniz.
find
/opt/zimbra/mailboxd/webapps
-
type
d -
exec
chmod
0755 {} \;
find
/opt/zimbra/mailboxd/webapps
-
type
f -
exec
chmod
0644 {} \;
crontab -u zimbra -l
ps aux | grep processid
find
/opt/zimbra
-name
\*.jsp -
exec grep
--with-filename exec
{} \;
find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -ls
Güncel haberlerimizden ve kampanyalarımızdan haberdar olun.
Hilal Mh. Cezayir Cd. No:15/A Çankaya Ankara / Türkiye
0312 472 22 33 | 0850 303 VRYM
0850 200 21 76
Cevdet KAYMAZ
Atatürk Bul. Hacı Hanife İş Merkezi No: 120/12 Odunpazarı Eskişehir / Türkiye
Burhan KAYMAZ
Seğmenler Vergi Dairesi - 924 047 65 78
321915
2/2307
Bilgi Teknolojileri ve İletişim Kurumu