Aller au contenu


/opt/zimbra/data/tmp/upload en lecture seule ?

upload lecture seule

  • Veuillez vous connecter pour répondre
9 réponses à ce sujet

#1 MaxAuray

MaxAuray

    Membre débutant

  • Membres
  • 5 messages

Posté 28 mai 2019 - 10:05

Bonjour à tous,

Je dispose d'un server Zimbra 8.7.11_GA_1854 et je rencontre un problème étrange depuis le début de la semaine.

Tout d'abord, le webmail dans sa version Ajax a été impossible à afficher : après saisie des identifiants, les utilisateurs obtenaient une page blanche. La version HTML fonctionnait quant à elle, sauf que les images (icônes de l'interface) n'étaient pas disponibles. À la place, une jolie erreur 404 pour toutes les images. Le problème s'est résorbé de lui-même et je n'ai pu trouver de trace d'aucune erreur nulle part dans les journaux. Des redémarrage des services n'y ont rien changé.

Ensuite, c'est le dossier /opt/zimbra/data/tmp/upload appartenant à zimbra:zimbra qui passe automatiquement en lecture seule sans raison connue avec pour conséquence l'impossibilité de joindre des fichiers volumineux à des mails, que ce soit via le webmail ou Zimbra Desktop. Et bien entendu, je n'ai aucune espèce d'idée pourquoi ce phénomène a lieu, je ne trouve aucune trace d'erreur, que ce soit dans les logs propres à Zimbra (dans /opt/zimbra/log) ou celles du système (/var/log).

J'ai vérifié qu'il n'y avait pas de problème d'espace de stockage (la partition contenant /opt est utilisée à 24%), mais je n'ai rien trouvé. Même chose avec smartctl : les disques (en RAID) sont OK.

Avez-vous déjà rencontré ce type de problème ? Avez-vous des pistes qui me permettraient de comprendre de quoi il s'agit, pourquoi ceci a lieu ?

Je vous remercie.

--
Maxime.

#2 hannibal

hannibal

    Membre avancé

  • Membres
  • 58 messages

Posté 28 mai 2019 - 10:08

Bonjour

Je viens d'avoir le problème. C'est une faille de sécurité.
Il faut changer les permissions et mettre à jour vers le Patch11

cd /opt/zimbra/mailboxd
find webapps -type d -exec chmod 0755 {} \;
find webapps -type f -exec chmod 0644 {} \;


https://wiki.zimbra....ases/8.7.11/P11

Courage
Zimbra NE  8.0.6 sous Ubuntu 10 LTS sous VMWARE

#3 S1lver#

S1lver#

    Nouveau membre

  • Membres
  • 4 messages

Posté 28 mai 2019 - 11:13

Bonjour, même problème pour moi (surprise en ce lundi matin). Il y a eu une vague d'attaque ce week end et beaucoup de serveurs semblent touchés. Les serveurs sont ensuite utilisés pour miner des cryptomonnaies. Pour ma part, c'est re installation d'un serveur propre, migration des données et upgrade vers 8.8.11 + patchs

IDEM topic : https://www.zimbrafr...l-inaccessible/
Zimbra 8.8.12 Patch1 Open_source édition  /  Ubuntu 16.04.9

#4 ZimbraLuis

ZimbraLuis

    Membre débutant

  • Membres
  • 7 messages

Posté 28 mai 2019 - 12:22

Bonjour,

Votre serveur est infecté par la faille de sécurité, le fait de changer les permissions et mettre le Patch ne corrigera pas le problème..
Il faut bien nettoyer le serveur de tous les fichiers malicieux et les binaires sinon ça corrigera le problème que temporairement.

Cordialement,
Luis
---------------------
Zimbra Luis
---------------------

Release 8.8.11.GA.3737.UBUNTU14.64 UBUNTU14_64 NETWORK edition, Patch 8.8.11_P4.

#5 MaxAuray

MaxAuray

    Membre débutant

  • Membres
  • 5 messages

Posté 28 mai 2019 - 12:37

Bonjour,

C'est en effet ce que j'ai constaté ce matin après quelques recherches complémentaires. J'ai procédé à la suppression du programme de crypto-monnaie, fait le nettoyage dans les fichiers qui ont été touchés, blindé des accès empruntés par l'attaquant et supprimé le compte administrateur qu'il s'était octroyé.

Je suis sur le point de patcher Zimbra. Je souhaiterais réaliser une sauvegarde complète de Zimbra avant de patcher (par prudence), mais je n'ai aucune idée de la façon de faire. J'ai bien une sauvegarde des comptes et de leurs contenus, mais pas le reste, en particulier les fichiers de Zimbra lui-même. Est-ce qu'une copie à l'identique de /opt suffit ?

#6 MMal33

MMal33

    Nouveau membre

  • Membres
  • 1 messages

Posté 28 mai 2019 - 13:12

Bonjour est ce qu'il y a eu une notification par rapport a cette faille? car nos serveurs sont aussi impactées, et je doit rendre des comptes aux clients.
Merci en tout cas pour les solutions proposées on va essayer d'avancer avec ce qui est proposé.

Mat

#7 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 499 messages
  • LocalisationPlanète Terre

Posté 28 mai 2019 - 13:41

Bonjour,

vous avez eu des notifications à ce sujet sur le blog officiel de Zimbra :
https://blog.zimbra.com/2019/05/9826/
Sur le Forum US :
https://forums.zimbr...hp?f=15&t=65932
Et la liste de diffusion Zimbra Renater par contre il faut s'y inscrire :
zimbra-fr@groupes.renater.fr

  Cordialement,
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr

#8 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 374 messages
  • LocalisationBeaucaire - Gard

Posté 29 mai 2019 - 17:42

Voir le messageMMal33, le 28 mai 2019 - 13:12, dit :

Bonjour est ce qu'il y a eu une notification par rapport a cette faille?
Plusieurs.

Voir le messageMMal33, le 28 mai 2019 - 13:12, dit :

car nos serveurs sont aussi impactées, et je doit rendre des comptes aux clients.
Leur dire "on vous vend/loue/met à dispo des outils qu'on maintient pas ?"
Bon courage.

#9 fcourtaud

fcourtaud

    Membre débutant

  • Membres
  • 8 messages

Posté 30 mai 2019 - 11:45

Si cela peut aider voici les étapes que j'ai suivi pour régler le pb.
NB Elles ont fonctionné dans mon cas mais requièrent la plus grande prudence car vous allez supprimer des fichiers dans l'arorescence de zimbra donc backup snapshot avant toute chose.

Coupez les services zimra

zmcontrol stop

Supprimer les fichiers suivant :
rm /opt/zimbra.log/zmswatch
rm /opt/zimbra.log/zmswatch.sh
/opt/zimbra/lib/zmlogswatch

Tuer tous les process identifiés par
top -p $(pgrep -d ',' zmlogswatch)
top -p $(pgrep -d ',' zmswatch)

Si vous avez des process sed actifs tuez les aussi

Le malware va générer des fichier jsp, java et class
Les commandes ci-dessous permettent de les identifier.
grep -R '(request\.getParameter.*' /opt/zimbra/mailboxd
grep -R '(request\.getParameter.*' /opt/zimbra/jetty

Remplacez ces fichiers par ceux d'une install zimbra clean , supprimez ceux qui ne sont pas dans l'arborescence initiale.

Nettoyez la crontab de zimbra
su - zimbra
crontab -e

En fin de fichier vous allez trouver des références à zmlogswatch et zmswatch, vous pouvez les supprimer

La dernière étape est la remise à plat des permissions

chmod 1777 /opt/zimbra/data/tmp
chmod 755 /opt/zimbra/data/tmp/upload
chmod 755 /opt/zimbra/data/tmp/nginx
chmod 755 /opt/zimbra/data/tmp/nginx/client
chmod 755 /opt/zimbra/data/tmp/nginx/proxy
chmod 755 /opt/zimbra/data/tmp/nginx/fastcgi

cd /opt/zimbra/mailboxd
find webapps -type d -exec chmod 0755 {} \;
find webapps -type f -exec chmod 0644 {} \;
/opt/zimbra/libexec/zmfixperms -verbose

Pensez aussi à regénérer les clés ssh
su - zimbra
zmsshkeygen
zmupdateauthkeys


reboot
Et bien évidemment PATCHEZ !
En espérant que cela puisse aider.

Bon courage à vous
Zimbra 8.7.11_GA_1854 Community

#10 Media

Media

    Membre avancé

  • Membres
  • 60 messages

Posté 04 juin 2019 - 12:52

Voir le messageKlug, le 29 mai 2019 - 17:42, dit :

Plusieurs.


Leur dire "on vous vend/loue/met à dispo des outils qu'on maintient pas ?"
Bon courage.
Si même "L'ETAT" n'est pas capable de maintenir le système des impôts, ParcourSup, les cartes grises, ou le paiement des militaires, comment nous critiquer, nous qui avec nos petits moyens essayons de faire tourner un système qui favorise avant tout ceux qui payent ?
Version Zimbra : 8.6.0_GA_1225.NETWORK
Serveurs : 1
Comptes : 147
Domaines : 25




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)