Salah satu server di cloud yang kena memcached amplification attack.

Outgoing
bandwidth naik hampir ke 400 Mbps. Lah ini 1 server, kalau ada 10 biji yang kena,
bisa kalap network si provider.

Seharian kemarin sibuk bereskan ini,sampai-sampai semua agenda batal dan team
Excellent nggak beranjak dari markas sampai menjelang malam.

Info awal :

https://blog.cloudflare.com/memcrashed-major-amplification�/

https://medium.com/�/the-memcached-amplification-attack-rea�

Untuk yang menggunakan Zimbra dengan memcached terpasang (mandatory mulai Zimbra
versi 8.7.x) segera eskalasikan dengan perintah :

zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1

zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1

Kemudian restart services. Untuk Zimbra < 8.7 yang pakai memcached, periksa file
/opt/zimbra/bin/zmmemcachedctl dan sesuaikan.

nano "/opt/zimbra/bin/zmmemcachedctl"

search line ( line 70 ) : /opt/zimbra/${servicename}/bin/${servicename} -d -P $

{pidfile}

ubah menjadi :

/opt/zimbra/${servicename}/bin/${servicename} -d -l 127.0.0.1 -P ${pidfile}

Hal ini terjadi karena memcached Zimbra default open ke 0.0.0.0 (all interface)
sehingga bisa kena attack.

Setelah dilakukan, restart services dan pastikan ulang memcached services ada di
interface 127.0.0.1

netstat -atupn | grep 11211

Untuk jaga-jaga, block port UDP 11211 outgoing dari interface public