Zimbra vừa cập nhật “phác đồ điều trị” cho lỗ hổng bảo mật đã được công bố vào tháng 3/2019 vừa qua. Zimbra đã đưa ra các bản vá và liên tục thông báo cho cộng đồng thông qua forum, blog, bản tin email. Tuy nhiên hiện có rất nhiều hệ thống đã bị hack do không tuân thủ các khuyến cáo từ Zimbra.

Phần 1: thông báo từ Zimbra.

Phần 2: Hướng dẫn rebuild Zimbra Server bằng NG Backup

Phần 3: Hướng dẫn rebuild Zimbra server bằng rsync

Để bịt lỗ hổng bảo mật này, bạn cần chạy các phiên bản Zimbra sau:

  • 8.6.0 patch 4
  • 8.7.11 patch 11
  • 8.8.9 patch 10
  • 8.8.10 patch 7
  • 8.8.11 patch 3
  • 8.8.12

Nếu bạn chưa sử dụng các phiên bản này, bạn cần nâng cấp hệ thống lên ngay lập tức. Nếu bạn cần hỗ trợ để xác định hệ thống có bị hack hay chưa, hãy lấy các thông tin như hướng dẫn sau và mở support case, kỹ sư Zimbra sẽ hỗ trợ bạn xác định xem hệ thống có bị hack không.

#su - zimbra

$zmcontrol -v

$grep python-requests /opt/zimbra/log/access_log* $ grep downloads /opt/zimbra/log/access_log* | grep -i jsp

$ ls -lrth /var/tmp/*.sh
$ ls -lrth /opt/zimbra/log/*.sh

$ crontab -l | egrep -i ‘zmmailboxdwatch|zmstorewatch’
$ crontab -l | egrep -i ‘\.sh|\.py’

Đội hỗ trợ kỹ thuật của Zimbra nhận thấy hacker đã thay đổi hệ thống bị hack. Các hacker đang cố gắng che dấu các thay đổi để hệ điều hành và ứng dụng không nhận ra. Vì vậy, Zimbra khuyến cáo bạn cần xóa bỏ và xây dựng hệ thống mới hoàn toàn thay thế cho hệ thống đã bị hack.

Zimbra có phát hành hướng dẫn tại đây để hướng dẫn các bước di chuyển dữ liệu sang hệ thống mới. Zimbra Support team chỉ đưa ra các hướng dẫn nếu bạn mở support case và không thực hiện việc nâng cấp, di chuyển dữ liệu thay bạn. Nếu bạn cần các dịch vụ này, vui lòng liên hệ với ZIMICO để được báo giá dịch vụ.