Hacking de Zimbra robo de contraseñas

Post Reply
DavidRemoto
Posts: 28
Joined: Sat Sep 13, 2014 12:29 am

Hacking de Zimbra robo de contraseñas

Post by DavidRemoto »

Hola a todos,

Quiero compartir con vosotros el hacking que me acaban de hacer a tres de mis servidores.

Nos lleva pasando desde hace tiempo, que las conexiones pop y algunas veces imap dejan de funcionar para algunas cuentas de correo. Es un problema que no hemos sabido resolver hasta hoy mismo que hemos descubierto que teníamos un hacking hecho en nuestros servidores para robar contraseñas.

Nos hemos dado cuenta porque hoy algunas cuentas volvían a fallar, los clientes de correo daban time out y no podían descargar correo. Desde el ordenador cliente, hemos hecho una prueba por Telnet hacia nuestro servidor y puerto 110. La conexión se ha establecido, pero al ingresar usuario y contraseña daba time out. En cambio, desde ese ordenador, a otras cuentas, sí funcionaba la conexión.

Después, hemos revisado el log de /opt/zimbra/log/nginx.log y ahí hemos encontrado las siguientes líneas:

Code: Select all

2021/07/12 17:31:49 [info] 4878#0: *23999 client logged in, client: XX.XX.XX.XX:51446, server: 0.0.0.0:110, login: "xx@xx.es", upstream: 31.7.62.81:7995 (XX.XX.XX.XX:51446->YY.YY.YY.YY:110) <=> (YY.YY.YY.YY:39652->31.7.62.81:7995)
2021/07/12 17:31:49 [info] 4878#0: *23999 proxied session done, client: XX.XX.XX.XX:51446, server: 0.0.0.0:110, login: "xx@xx.es", upstream: 31.7.62.81:7995 (XX.XX.XX.XX:51446->YY.YY.YY.YY:110) <=> (YY.YY.YY.YY:39652->31.7.62.81:7995)
• XX.XX.XX.XX es la ip del cliente de correo
• YY.YY.YY.YY es la ip del servidor zimbra
• 31.7.62.81 es la ip del destino del atacante.

Lo que podemos ver en el log, es que han cambiado (no sé como) el upstream server, y en vez de ser la IP de mi servidor lo han sustituido por la IP del servidor del atacante. Así, las conexiones que se realizan contra los puertos pop e imap de mi servidor y concretamente de los dominios atacados, estaban siendo redirigidas al servidor del atacante.

Para probarlo, primero he hecho telnet a la ip del atacante y al puerto 110 y ha respondido lo que parecía ser un servidor Zimbra. Seguramente ese servidor únicamente recogía usuarios y contraseñas, y se hacía pasar por un zimbra legítimo.

Después, a través de tcpdump desde el servidor zimbra, he podido ver que había tráfico hacia la ip del atacante justo cuando yo recibía peticiones de clientes de correo pop/imap. Por lo tanto, esas peticiones de login, con el usuario y contraseña en claro, han sido reenviadas a la ip 31.7.62.81.

Por último, he visto con lsoft que había una conexión de memcached abierta desde mi servidor hasta la ip del atacante:

Code: Select all

memcached  4854  zimbra   42u  IPv4  741702      0t0  TCP YY.YY.YY.YY:11211->31.7.62.81:59346 (ESTABLISHED)
Dejo toda esta información aquí para que estéis atentos por si os surge el mismo problema. Todavía no sé como han conseguido modificar el upstream, en toda la configuración de nginx no he visto nada. Seguramente haya sido con alguna URL hacia el cliente Webmail.

Si alguien tiene más información o quiere que haga alguna prueba para averiguar como lo han hecho estoy a vuestra disposición.

Un saludo!
Post Reply