Forum

Zimbra - Mail log t...
 
Bildirimler
Hepsini Temizle

Zimbra - Mail log takibi

6 Yazılar
3 Üyeler
0 Reactions
2,980 Görüntüleme
(@OkanYilmaz)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Merhaba şirketimiz ve bağlı lokasyonlarında Zimbra 8.0.0 kullanıyoruz. Bine yakın kullanıcımız var. Admin console dan baktığımda bazı geceler aşırı bir mail trafiği olduğunu görüyorum hemde hiç olmayacak saatlerde. Buda ister istemez bizim sunucuya bir şekilde sızıldığı ve üzerimizden mail gönderildiğini düşündürüyor. Acaba bir user şifresini kaptırdıda onun üzerinden mi mail gönderiyorlar diye mail loglara bakmaya çalıştım /var/log/maillog altından fakat anlamlı birşey bulamadım. Yani binlerce maili bir kullanıcı üzerinden gönderseler bu mutlaka loglarda ilk başta göze çarpardı fakat böyle birşey yok (yada ben göremedim)

Forumlarda zimbra nın 0days açığından bahsedilyor. Acaba bizim başımıza gelende bumudur? Yani versiyondan dolayı bize sızıyorlar ve farkında olmadan ve loglara takılmadan mail gönderiyor olabilirler mi? Versiyon yükseltmesi yapacağız  ve 8.0.6 ya geçeceğiz fakat geçmeden önce sistemde böyle bir açık olup olmadığını nasıl ve nereden tespit edebiliriz? Hangi loglara nasıl bakmamız gerekiyor? ileride tekrar böyle bir açıkla karşı karşıya kaldığımızda check etmek açısından soruyorum.

/zimbra/conf/zmconfigd/smtpd_senders_restrictions.conf da şu satırlar var, buraya başka bir şey eklemem gerekiyor mu izinsiz smtp yada relay girişlerini iptal etmek için?

permit_mynetworks, reject_sender_login_mismatch
 

 
Gönderildi : 12/01/2014 19:13

(@tacimbulut)
Gönderiler: 107
Estimable Member
 

Sunucu üzerinde gerçekleştirilen tüm hareketler /var/log/ ve op/zimbra/log dizininde saklanmaktadır. Zimbranın 0days açığı sizinde belirttiğiniz gibi 8.0.6 ile giderilmiş.

Sunucunuzu test etmek istiyorsanız backtrak veya blackubuntu içine black http://www.exploit-db.com/exploits/30085 ve  http://www.exploit-db.com/exploits/30472 exploitleri yerleştirerek deneye bilirsiniz.

Size tavsiyem bu kadar yoğun kullanılan bir sunucu üzerinde test yapmayın. Direk 8.0.6 güncelleyip 2 - 3 gün sunucuyu takip edin,

 
Gönderildi : 13/01/2014 16:50

(@tacimbulut)
Gönderiler: 107
Estimable Member
 

İsterseniz zmaccts komutu ile hesapların oluşturulma tarihleri ile listeleyerek kontrol bilirsiniz. Tabi sizde kullanıcı fazla olduğun dan mecburen grep komutunu kullanacaksınız. Örnek

[root@mail log]# su - zimbra

 

[zimbra@mail ~]$ zmaccts | grep "12/19"  bir komut yazdığımızda bize 12 ayın 19 oluşturulan hesapları göstermektedir. 

 
Gönderildi : 13/01/2014 18:58

(@muratconkar)
Gönderiler: 63
Trusted Member
 

Çok teşekkürler Tacim bey verdiğiniz bilgiler için bizimde buna benzer problemlerimiz vardı bizide aydınlattınız sağolun.

 
Gönderildi : 13/01/2014 20:42

(@OkanYilmaz)
Gönderiler: 31
Eminent Member
Konu başlatıcı
 

Merhaba Tacim bey, cevabınız için teşekkürler ve geç cevabım için kusura bakmayın.

Bizimde amacımız en kısa zamanda (h.sonu) güncellemeyi yapmak ve sistemi izlemek. Upgrade işlemini ilk defa yapacağım onun için birkaç şey sormak istiyorum izninizle;

upgrade yapmadan cold backup alacağım (/opt/zimra klasörünün full yedeği) bundan başka almam gereken bir yedek var mıdır? ayrıca servisleri durdurmamıza gerek var mı? yoksa tüm servisler aktifken bu güncelleştirmeyi yapabilirmiyiz? yada sizin önereceğiniz başka püf noktaları varsa öğrenmek isterim. Teşekkürler.

 
Gönderildi : 15/01/2014 14:30

(@tacimbulut)
Gönderiler: 107
Estimable Member
 

Estf. Kesinlikle ilk yapmanız gereken cold backup yapmanız. Benim kullandığım ve yazdığım makalelerdeki uygulamalar, servisleri kendileri stop/start ediyordu. Şuan ki versiyonlarda bu özellik değişmemiştir diye düşünüyorum. Sorunsuz bir güncelleme işlemi için  http://www.cozumpark.com/blogs/3party/archive/2012/12/02/zimbra-zcs-open-source-edition-surum-guncellemesi.aspx  bu makaledeki adımları takip etmenizi öneririm.

 
Gönderildi : 15/01/2014 15:15

Paylaş: