Aller au contenu


Webmail inaccessible


  • Veuillez vous connecter pour répondre
15 réponses à ce sujet

#1 AlainCAB

AlainCAB

    Membre

  • Membres
  • 10 messages

Posté 27 mai 2019 - 11:01

Bonjour à tous.

Depuis ce matin, un problème étrange. La fenêtre de connexion au webmail apparaît bien mais la fenêtre de chargement n'aboutit jamais (en mode Ajax).
La connexion en mode portable semble bien fonctionner. La connexion en mode HTML fonctionne mais aucune image ne s'affiche...

J'ai essayé sur plusieurs navigateurs (Firefox, firefix ESR, Chrome), sur différents postes. Après redémarrage des services zimbra et en désespoir de cause, après redémarrage du serveur.
=> Aucune amélioration.

Quelqu'un aurait une idée d'autres tests ? Mieux, d'une méthode de résolution du problème.

En vous remerciant par avance de votre aide.

Alain
Alain - technicien
Zimbra 8.6.0 GA 1153 / Centos 7

#2 AlainCAB

AlainCAB

    Membre

  • Membres
  • 10 messages

Posté 27 mai 2019 - 11:18

Si ça peut aider, quelques messages d'erreur au redémarrage du service mailbox :

[zimbra@SRV-MESSAGERIE ~]$ zmmailboxdctl restart
Stopping mailboxd...done.
/opt/zimbra/libexec/zmupdatedownload: line 40: cd: /opt/zimbra/mailboxd/webapps/zimbra/downloads: Permission denied
/opt/zimbra/libexec/zmupdatedownload: line 41: cd: /opt/zimbra/mailboxd/webapps/zimbra/downloads: Permission denied
/opt/zimbra/libexec/zmupdatedownload: line 42: cd: /opt/zimbra/mailboxd/webapps/zimbra/downloads: Permission denied
/opt/zimbra/libexec/zmupdatedownload: line 43: cd: /opt/zimbra/mailboxd/webapps/zimbra/downloads: Permission denied
/opt/zimbra/libexec/zmupdatedownload: line 44: cd: /opt/zimbra/mailboxd/webapps/zimbra/downloads: Permission denied
/opt/zimbra/libexec/zmupdatedownload: line 45: cd: /opt/zimbra/mailboxd/webapps/zimbra/downloads: Permission denied
/opt/zimbra/libexec/zmupdatedownload: line 46: cd: /opt/zimbra/mailboxd/webapps/zimbra/downloads: Permission denied
/opt/zimbra/libexec/zmupdatedownload: line 49: /opt/zimbra/mailboxd/webapps/zimbra/downloads/index.html: Permission denied
cat: /opt/zimbra/mailboxd/webapps/zimbra/downloads/index.html.in: Permission denied
sed: couldn't open temporary file /opt/zimbra/mailboxd/webapps/zimbraAdmin/WEB-INF/classes/messages/sedKx54YP: Permission denied
Starting mailboxd...done.
Alain - technicien
Zimbra 8.6.0 GA 1153 / Centos 7

#3 tbis1807

tbis1807

    Membre

  • Membres
  • 29 messages

Posté 27 mai 2019 - 12:38

Bonjour,

J’avais le même problème ce matin, je l'ai résolu en modifiant les droits du dossier "/opt/zimbra/data/tmp/upload"
Les droit été sur 0550 et moi je les ai remis sur 0750, et cela fonctionne parfaitement.

En espérant que cela puisse t'aider.
ZCS 8.6.0p6 Network

#4 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 481 messages
  • LocalisationPlanète Terre

Posté 27 mai 2019 - 13:15

C'est bizarre ce changement de droit à cet endroit, vous seriez pas victime de l'exploitation de la faille suivante : CVE-2019-9670
https://forums.zimbr...hp?f=15&t=65932
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr

#5 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 367 messages
  • LocalisationBeaucaire - Gard

Posté 27 mai 2019 - 13:34

Il y a une vingtaine de threads sur le sujet sur le forum US ce matin.

Serveurs pas patchés -> faille exploitée -> installation d'un coinminer qui fait n'importe quoi (il ajoute un binaire dans /opt/zimbra/log/zmswatch et modifie la crontab et touche aux droits).

En fait, on peut le remercier d'avoir modifié les droits, les gens se rendent compte que leur serveur est pourri et pas à jour.
Parce que le patch est quand même dispo depuis fin mars.
C'est du niveau de l'exploitation de EternalBlue aux US en ce moment.

Sans compter que les gens corrigent le problème (les droits) sans faire le reste (supprimer le binaire, remettre la crontab, patcher le serveur et vérifier tout le reste).

#6 tbis1807

tbis1807

    Membre

  • Membres
  • 29 messages

Posté 28 mai 2019 - 22:21

Bonjour,

En effet je suis victime de cette faille.

Avez vous une procédure pour nettoyé mon serveur ?
J'ai essayé tout ce qui est dit dans le lien fourni par Guy mais tout les fichiers ce remette en place 2 heure après.

Merci pour votre aide.
ZCS 8.6.0p6 Network

#7 Media

Media

    Membre avancé

  • Membres
  • 60 messages

Posté 29 mai 2019 - 09:05

J'ai appliqué le patch hier pour la 8.6.0 mais aujourd'hui le /opt/zimbra/log/zmswatch est quand même revenu.
Version Zimbra : 8.6.0_GA_1225.NETWORK
Serveurs : 1
Comptes : 147
Domaines : 25

#8 AlainCAB

AlainCAB

    Membre

  • Membres
  • 10 messages

Posté 29 mai 2019 - 09:12

Voici comment j'ai nettoyé mon serveur en attendant une meilleure solution.

Commenter la dernière ligne du crontab de zimbra en ajoutant un #
# */15 * * * * sh /opt/zimbra/log/zmswatch.sh;

Tuer le(s) processus zmswatch
> ps aux | grep zmswatch
> kill <l'ID du processus>

Redonner les droits d'accès aux fichiers du webmail à zimbra
La première ligne redonne accès au webmail. La seconde répare l’ajout de PJ
> chmod -R 544 /opt/zimbra/mailboxd/webapps/zimbra
> chmod u+w /opt/zimbra/data/tmp/upload

Dans Zimbra Admin
Vérifier qu’il n’y ait pas de comptes admin pirates.
Pour info, j'en avais 4...



Si quelqu'un a des précisions ou des corrections sur cette méthode, je suis preneur (et Media aussi, je suppose).
Alain - technicien
Zimbra 8.6.0 GA 1153 / Centos 7

#9 Media

Media

    Membre avancé

  • Membres
  • 60 messages

Posté 29 mai 2019 - 10:57

Merci beaucoup AlainCab pour la réparation de l'usage des pièces jointes : c'est le premier symptôme que mes utilisateurs m'ont signalé et le patch n'y avait rien changé !
Version Zimbra : 8.6.0_GA_1225.NETWORK
Serveurs : 1
Comptes : 147
Domaines : 25

#10 Media

Media

    Membre avancé

  • Membres
  • 60 messages

Posté 29 mai 2019 - 13:42

Malgré le patch /opt/zimbra/log/zmswatch est revenu, je pense que le patch n'est pas efficace ou suffisant.
Version Zimbra : 8.6.0_GA_1225.NETWORK
Serveurs : 1
Comptes : 147
Domaines : 25

#11 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 481 messages
  • LocalisationPlanète Terre

Posté 29 mai 2019 - 17:30

A nouveau je recommande lire ce thread :
https://forums.zimbr...65932&start=140
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr

#12 Media

Media

    Membre avancé

  • Membres
  • 60 messages

Posté 03 juin 2019 - 08:53

Merci Zimbra Guy, j'avais déjà consulté ce thread, mais l'attaque semble évoluer.
Au tout début, la commande indiquée par AlainCab pour permettre l'envoi de pièces jointes
chmod u+w /opt/zimbra/data/tmp/upload
rétablissait le fonctionnement pendant plusieurs heures, maintenantn à peine la commandes est exécutée que le dossier /opt/zimbra/data/tmp/upload redevient interdit à l'écriture.
Un nouvel exécutable est apparu dans /opt/zimbra/log : zmswatcher, en plus de zmswatch et zmswatch.sh

Maintenant ça devient vraiment très "galère"
Version Zimbra : 8.6.0_GA_1225.NETWORK
Serveurs : 1
Comptes : 147
Domaines : 25

#13 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 367 messages
  • LocalisationBeaucaire - Gard

Posté 03 juin 2019 - 09:26

Tant que vous ne patcherez pas vos serveurs, ils se feront pourrir.
Il faut au minimum patcher puis nettoyer (supprimer ce que le méchant script a posé sur le serveur, shooter les comptes bidons, modifier les mots de passe LDAP and co) puis remettre les bons droits.

Et maintenant, vu où on en est pour ceux qui n'ont toujours pas patché, ça va devenir compliquer de se contenter de ça.
En d'autres termes, il va falloir isoler le serveur du net, shooter les trucs déposés par le script puis exporter les données pour les mettre dans un nouveau serveur propre à côté.

#14 Media

Media

    Membre avancé

  • Membres
  • 60 messages

Posté 03 juin 2019 - 09:46

J'ai patché mon serveur mardi dernier.
J'ai appliqué tout ce que j'ai pu trouver comme infos sur les différents posts décrivant l'attaque, mais je ne trouve nulle part la liste exhaustive de tout ce que "le méchant script" a modifié sur le serveur.
J'attends que mon hébergeur me rajoute un disque sur mon serveur dédié pour pouvoir installer un nouveau serveur propre.
C'est ce manque d'espace qui m'a empêché d'appliquer le patch avant l'attaque, car bêtement je voulais sécuriser ma machine avant de mettre le patch. Aujourd'hui je m'en mords les doigts.
Version Zimbra : 8.6.0_GA_1225.NETWORK
Serveurs : 1
Comptes : 147
Domaines : 25

#15 Lezard427

Lezard427

    Membre

  • Membres
  • 23 messages

Posté 05 juin 2019 - 19:42

Bonjour,
J'ai un serveur en 8.5.1_GA_3056.NETWORK
Je ne trouve pas le patch pour ma version ?
Existe-t-il ?

Merci
ZCS 7.2.4 sous CENTOS 6.4 -x64 + Mobile
ZCO + Webmail + ZD 2

#16 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 481 messages
  • LocalisationPlanète Terre

Posté 06 juin 2019 - 12:48

Non.
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)