Pagi ini saya dapet komplain dari client karena email server zimbra mereka tidak bisa dibuka setelah login tampilannya blank page. Saya coba login memang langsung whitescreen. Tapi untuk login ke halaman admin sih normal. Nah disini saya coba login lewat admin tapi mentok di loading page kaya gambar dibawah.
Nah setelah saya klik “Switch to the Standard (HTML) version” bisa tuh kebuka tapi icon-iconnya pada ga muncul. Defaultnya kan zimbra ini pakai AJAX bukan pakai HTML. Berarti ketauan nih masalahnya di mode AJAX. Abis itu saya coba juga cek ke servernya, cek log zimbranya yang ada di folder /opt/zimbra/log/. Coba cek satu-satu. Terus saya coba tail sambil login si zmmailboxd.out dan hasilnya kaya gini :
Caused by:
java.io.IOException: java.io.FileNotFoundException: /opt/zimbra/jetty-distribution-9.3.5.v20151012/webapps/zimbra/../../work/resource-cache/skinres/latest/-5d59e2a2c267c317f48e48337d8a793a-122.html (No such file or directory)
at org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:466)
at org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:396)
at org.apache.jasper.servlet.JspServlet.service(JspServlet.java:340)
at org.eclipse.jetty.jsp.JettyJspServlet.service(JettyJspServlet.java:107)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:790)
at org.eclipse.jetty.servlet.ServletHolder.handle(ServletHolder.java:821)
at org.eclipse.jetty.servlet.ServletHandler.doHandle(ServletHandler.java:583)
at org.eclipse.jetty.server.handler.ScopedHandler.handle(ScopedHandler.java:143)
at org.eclipse.jetty.security.SecurityHandler.handle(SecurityHandler.java:566)
Kurang lebih gitu dah lognya wkwk.
Terus saya coba googling tuh ga nemu-nemu wkwk. Abis itu saya coba buka forumnya zimbra dan nemu link ini eh ternyata ada yang sama kaya gini juga dan cuma beda 1-2 hari dari kejadian client saya. Nah yang anehnya lagi yang ngalamin kaya gini versinya cuma zimbra 8.6 dan 8.7. Client saya menggunakan zimbra versi 8.7.3.
Saya coba ikutin caranya si usr AB_Zimbra disana kurang lebih kaya gini :
Zimbra Version: 8.7.11_GA_3800.NETWORK
I did the following (as root);
cd /opt/zimbra/mailboxd
find webapps -type d -exec chmod 0755 {} \;
find webapps -type f -exec chmod 0644 {} \;Then restart Zimbra;
su – zimbra
zmcontrol restart
Dan bener aja langsung solved masalahnya. Ternyata masalah chmod. Tapi sampai disini saya juga ngga tau kenapa bisa terjadi kaya gitu. Dipostingan setelah-setelahnya ada yang udah ngikutin cara kaya diatas tapi pas besokannya masalahnya balik lagi. Dan itu terjadi kepada user MaySky dan zanthius. Nah si MaySky ini dia coba untuk cari tau masalahnya lebih lanjut. Ternyata crontab server zimbranya dia ada cron yang berjalan dengan script aneh beserta file-file aneh/tidak diketahui didalam folder /tmp/.cache/. Dan dia cek CPUnya sampe 300%. Solusinya dia adalah menginstal patch terbaru untuk 8.7.11 – Patch 11, menghapus semuanya dari /tmp/.cache/, membersihkan cron “crontab -e -u zimbra” lalu gg dan dG) dan reboot server.
Beda lagi halnya dengan si zanthius. Si user ini juga nemuin ada cron aneh yang berjalan mengeksekusi suatu file. File executable tersebut ada didalam folder /opt/zimbra/log/zmwatch.sh. Si file ini makan CPU zanthius sampai 200%. Saya coba membandingkan dengan mengecek di server zimbra saya yang lain file ini memang tidak ada. Tindakan yang dilakukan si zanthius adalah menghapus cron tersebut dan kill proses zmwatch.sh tersebut.
Permasalahan saya sendiri mirip sekali dengan zanthius jadi tindakan yang saya ambil juga sama dengan dia. Sepertinya memang ada bug pada zimbra versi 8.6 dan 8.7 yang menyebabkan si attacker menyerang server zimbra yang menggunakan versi tersebut. Sampai saat ini saya juga belum tau dimana celah tersebut. Mungkin segitu dulu aja sharingnya, semoga bisa membantu ya.
