¿Estás visitando desde Argentina?
Ingresá a Linware Argentina ⯈
Continuar en Linware Argentina ⯈
×
¿Qué estás buscando?
BUSCAR!
INICIO
NOSOTROS
imMail 3CX MagicSpam VMware Zimbra Xinuos SUSE Bitrix24 Nakivo Proxmox Veeam Kaspersky OnlyOffice
PRODUCTOS ▾
SOLUCIONES
BLOG
CONTACTO
BLOG
10 pasos para verificar si el servidor Zimbra está comprometido
Publicada el 04/04/2023

Los piratas informáticos a menudo instalan webshells en los sistemas Zimbra parcheados y luego esperan un tiempo antes de abusar del sistema comprometido. Especialmente en los sistemas donde los parches de seguridad críticos se instalaron demasiado tarde, puede parecer que todo estuvo bien, donde de hecho un pirata informático ya obtuvo acceso al sistema, pero aún no realizó ninguna otra actividad maliciosa.

Para verificar si la vulnerabilidad se aprovecha potencialmente en un servidor sin parches, busque las siguientes entradas de registro en el servidor de buzón.

  1. Utilice el script https://wiki.zimbra.com/wiki/Integrity_check y compare la salida del sistema en vivo con la de una instantánea.
  2. Compruebe si hay archivos desconocidos en la webappscarpeta. Busque archivos desconocidos en la carpeta de aplicaciones web, especialmente los que terminan en , o .jsp.jslos archivos pueden tener nombres aleatorios o engañosos como . Para buscar archivos creados en los últimos 60 días, ejecute:.sh.py/opt/zimbra/jetty/webapps/zimbra/ /opt/zimbra/jetty/webapps/zimbraAdmin/
    security.jsp

     

    busque /opt/zimbra/jetty/webapps/ -type f -newerct "-60 días"
  3. Buscar archivos desconocidos en otros lugares
    Es posible que haya archivos ubicados en otros directorios, como /tmp//opt/zimbra/log, etc. Verifique estos lugares en busca de archivos con nombres inusuales como amd64libd, etc.
    Por ejemplo, para buscar archivos ejecutables en /opt/zimbra/ que hayan sido modificados en los últimos 60 días, ejecute:

     

    encuentre /opt/zimbra/ -ejecutable -tipo f -newerct "-60 días"

    Para verificar todos los archivos nuevos, pero excluyendo la copia de seguridad, el almacenamiento y los datos:

    find /opt/zimbra/ \ ( -path /opt/zimbra/backup -o -path /opt/zimbra/store -o -path /opt/zimbra/db/data \ ) -prune -o -newerct "-60 días "

    (Tenga en cuenta que ctse usa en lugar de la habitual mt, porque la hora modificada se puede cambiar fácilmente)

  4. Compruebe si hay nuevas entradas de crontab para zimbrarootusuarios.
  5. Compruebe si hay cuentas de administrador desconocidas.
  6. Compruebe si hay Zimlets desconocidos.
  7. Verifique para confirmar que el paquete Pax está instalado
  8. Verifique para confirmar que el paquete unrar está desinstalado y usando 7zip
  9. Verifique la configuración de sshd, valide el archivo de claves_autorizadas utilizado y valide el contenido de los archivos de claves_autorizadas para todos los usuarios
  10. Verifique qué puertos están abiertos en el sistema y si el firewall está configurado correctamente

Si hay evidencia de que se está aprovechando la vulnerabilidad, sugerimos reconstruirla: https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server

Ir al Blog
Contacto en Argentina
Córdoba
José Manuel Isasa 1926
Tel-Fax +54 (351) 5891012
Email: info@linware.com.ar
Ciudad de Buenos Aires
Av. Gaona 4264 1º C
Tel-Fax +54 (11) 60090219
Email: info@linware.com.ar
Síganos en
Copyright © 2020 LINWARE