Bu yazıda Zimbra memcached 11211 portuna gerçekleştirilen “memcrashd” saldırısı ile ilgili bilgi vereceğiz. Eğer sunucu hizmetinizde güvenlik duvarı yok ise Memcached default olarak sunucu ip adresini dinleyecektir.
Zimbra Memcache sunucularınız güvenlik duvarı arkasında ise Zimbra Memcache 11211 portunun gelen ve giden trafiğini engellemenizi öneririz. Bu işlemi yaptığınız bu makalede başka işlem yapmanıza gerek kalmayacaktır.
Zimbra memcache sunucunuz bir güvenlik duvarının arkasında DEĞİLSE ve İnternet üzerinden erişilebiliyorsa, devam edin.
Zimbra tek sunucu kurulumu için
Bu saldırıyı önlemek için Memcached’i yalnızca 127.0.0.1’de dinleyecek şekilde yapılandırın. Aşağıdaki komutları kullanın.
su - zimbra
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1Memcached restart edin
zmmemcachedctl restartFor Zimbra Multi Server Installation
Zimbra çoklu sunucu kurulumlarında memcache portunu, dışarıdan gelen isteklere karşı kapatarak sadece zimbra proxy sunucularının erişmesine izin vermek gerekir. İlk önce sunucularımız da firewalld yada ufw’yi etkinleştirmek gerekir. Eğer Sunucunuz da Ununtu kullanıyorsanız bu adresten, Centos kullanıyorsanız bu adresten nasıl etkinleştireceğinizi öğrenebilir siniz.
Tüm memcached sunucularınızda aşağıdaki komutları sırası ile uygulayınız.
Redhat tabanlı sunucular için iptables kuralları
Tüm bağlantılar için 11211 portunu kapatın.
iptables -I INPUT -p udp --dport 11211 -j DROP
iptables -I INPUT -p tcp --dport 11211 -j DROPSadece localhost dan bağlantıları kabul edin
iptables -I INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPTDiğer proxy sunucularından bağlantıları kabul edin. Zimbra kurulumunuzdaki her proxy sunucu IP’si için iki komutun altında çalıştırın.
iptables -I INPUT -p udp -s <Proxy IP> --dport 11211 -j ACCEPT
iptables -I INPUT -p tcp -s <Proxy IP> --dport 11211 -j ACCEPTUbuntu sunucuları için UFW kuralları
Tüm bağlantılar için 11211 portunu kapatın.
ufw deny 11211Sadece localhost dan bağlantıları kabul edin
ufw allow from 127.0.0.1 to any port 11211Diğer proxy sunucularından bağlantıları kabul edin. Zimbra kurulumunuzdaki her proxy sunucu IP’si için iki komutun altında çalıştırın.
ufw allow from <Proxy1 IP> to any port 11211
ufw allow from <Proxy2 IP> to any port 11211
