|  ENGLISH

CONTATTI
|  ENGLISH

Tips & Tricks: 10 passaggi per verificare che il server Zimbra non sia compromesso


Può capitare che gli hacker installino webshell su sistemi Zimbra con patch installate e che attendano un po’ di tempo prima di abusare effettivamente del sistema compromesso, soprattutto sui sistemi in cui le patch di sicurezza critiche sono state installate troppo tardi, potrebbe quindi sembrare che tutto sia a posto ma in realtà un hacker ha già ottenuto l’accesso al sistema ma non ha ancora svolto ulteriori attività dannose.
Per verificare se la vulnerabilità è potenzialmente sfruttata su un server senza patch, cerca le seguenti voci di registro sul server di posta.

  1. Usa lo script https://wiki.zimbra.com/wiki/Integrity_check e confronta l’output del sistema live con quello di un’istantanea.
  2. Verifica la presenza di file sconosciuti nella webapps cartella. Cerca i file sconosciuti nella cartella webapps, in particolare quelli che terminano con .jsp.jso .sh: I file potrebbero avere nomi casuali o nomi fuorvianti come. Per trovare i file creati negli ultimi 60 giorni, eseguire: 
    find /opt/zimbra/ -executable -type f -newerct "-60 giorni"
  3. Cerca file sconosciuti altrove
    Potrebbero esserci file posizionati in altre directory, come /tmp//opt/zimbra/log, ecc. Controlla in queste posizioni file con nomi insoliti come amd64libd, ecc.
    Ad esempio, per cercare file eseguibili in /opt/zimbra/ che sono stati modificati negli ultimi 60 giorni, eseguire:

    find /opt/zimbra/ -executable -type f -newerct "-60 giorni"

    Per verificare la presenza di tutti i nuovi file, esclusi backup, archivio e dati:

    find /opt/zimbra/ \ ( -path /opt/zimbra/backup -o -path /opt/zimbra/store -o -path /opt/zimbra/db/data \ ) -prune -o -newerct "-60 giorni "

    (Nota che ctviene utilizzato al posto del solito mt, perché l’ora modificata può essere facilmente modificata)

  4. Verifica la presenza di nuove voci crontab per zimbra e root utenti.
  5. Verifica la presenza di account amministratore sconosciuti.
  6. Verifica la presenza di Zimlet sconosciute.
  7. Verifica che il pacchetto Pax sia installato.
  8. Verifica che il pacchetto unrar sia disinstallato e utilizzi 7zip.
  9. Controllare la configurazione di sshd, convalidare il file authorized_keys utilizzato e convalidare il contenuto dei file authorized_keys per tutti gli utenti.
  10. Controlla quali porte sono aperte sul sistema e se il firewall è configurato correttamente.

Se ci sono prove che la vulnerabilità viene sfruttata, suggeriamo di ricostruirla: https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server