zimbra memecache遭攻擊
阿新 • • 發佈:2018-02-28
zimbra attacked zimbra port memcache 接到同事通知 主機無法登陸
和網絡的同事產看後發現流量徒增,由於交換機限速100m,造成服務異常,報警不斷。
暫時先放開限速後 發現zimbra服務器出流量過高1G,
登陸主機後發現是memcache端口11211產生的流量
後發現端口監聽為所有ip,查詢資料後發現可以配置“zimbraMemcachedBindAddress”這個參數來綁定監聽ip;但zimbra整體流程不熟悉,還是該腳本吧……
將 /opt/zimbra/bin/zmmemcachedctl
中的
/opt/zimbra/common/bin/${servicename} -d -P ${pidfile} -p ${port:-11211}
修改為
/opt/zimbra/common/bin/${servicename} -d -P ${pidfile} -l 127.0.0.1 -p ${port:-11211}
保存重啟zimbra
zmcontrol restart
好吧 攻擊消失了
後對zimbra進行了加固,所有內部通訊端口全部監聽本機,端口情況見附錄
參考文章:
處理方法:
SECURITY PROBLEM: Open Memcached in Zimbra 8.6.0_GA_1153
https://forums.zimbra.org/viewtopic.php?t=56493&start=10
端口
Default Ports Used by Zimbra
https://wiki.zimbra.com/wiki/Ports
關閉無用端口另寫文章
zimbra memecache遭攻擊