Bu yazıda Zimbra memcached 11211 portuna gerçekleştirilen “memcrashd” saldırısı ile ilgili bilgi vereceğiz. Eğer sunucu hizmetinizde güvenlik duvarı yok ise Memcached default olarak sunucu ip adresini dinleyecektir.

Zimbra Memcache sunucularınız güvenlik duvarı arkasında ise Zimbra Memcache 11211 portunun gelen ve giden trafiğini engellemenizi öneririz. Bu işlemi yaptığınız bu makalede başka işlem yapmanıza gerek kalmayacaktır.

Zimbra memcache sunucunuz bir güvenlik duvarının arkasında DEĞİLSE ve İnternet üzerinden erişilebiliyorsa, devam edin.

Zimbra tek sunucu kurulumu için

Bu saldırıyı önlemek için Memcached’i yalnızca 127.0.0.1’de dinleyecek şekilde yapılandırın. Aşağıdaki komutları kullanın.

 su - zimbra
 /opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1 
 /opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1

Memcached restart edin

 zmmemcachedctl restart

For Zimbra Multi Server Installation

Zimbra çoklu sunucu kurulumlarında memcache portunu, dışarıdan gelen isteklere karşı kapatarak sadece zimbra proxy sunucularının erişmesine izin vermek gerekir. İlk önce sunucularımız da firewalld yada ufw’yi etkinleştirmek gerekir. Eğer Sunucunuz da Ununtu kullanıyorsanız bu adresten, Centos kullanıyorsanız bu adresten nasıl etkinleştireceğinizi öğrenebilir siniz.

Tüm memcached sunucularınızda aşağıdaki komutları sırası ile uygulayınız.

Redhat tabanlı sunucular için iptables kuralları

Tüm bağlantılar için 11211 portunu kapatın.

 iptables -I INPUT -p udp --dport 11211 -j DROP
 iptables -I INPUT -p tcp --dport 11211 -j DROP

Sadece localhost dan bağlantıları kabul edin

 iptables -I INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT
 iptables -I INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPT

Diğer proxy sunucularından bağlantıları kabul edin. Zimbra kurulumunuzdaki her proxy sunucu IP’si için iki komutun altında çalıştırın.

 iptables -I INPUT -p udp -s <Proxy IP> --dport 11211 -j ACCEPT
 iptables -I INPUT -p tcp -s <Proxy IP> --dport 11211 -j ACCEPT

Ubuntu sunucuları için UFW kuralları

Tüm bağlantılar için 11211 portunu kapatın.

 ufw deny 11211

Sadece localhost dan bağlantıları kabul edin

 ufw allow from 127.0.0.1 to any port 11211

Diğer proxy sunucularından bağlantıları kabul edin. Zimbra kurulumunuzdaki her proxy sunucu IP’si için iki komutun altında çalıştırın.

ufw allow from <Proxy1 IP> to any port 11211
ufw allow from <Proxy2 IP> to any port 11211

Yorum Bırakın