接到同事通知 主机无法登陆

和网络的同事产看后发现流量徒增，由于交换机限速100m，造成服务异常，报警不断。

暂时先放开限速后 发现zimbra服务器出流量过高1G，

登陆主机后发现是memcache端口11211产生的流量

在memcache中写入一个比较大的value，当请求此value的时候memcache就会往外吐……用伪造的udp包进行请求，反弹***的目的就达到了，当时服务器出流量跑到1G，而udp的请求只有很少的一点。所以尽量不要开放不必要的端口在外网……

后发现端口监听为所有ip，查询资料后发现可以配置“zimbraMemcachedBindAddress”这个参数来绑定监听ip；但zimbra整体流程不熟悉，还是该脚本吧……

将 /opt/zimbra/bin/zmmemcachedctl

中的

/opt/zimbra/common/bin/${servicename} -d -P ${pidfile} -p ${port:-11211}修改为/opt/zimbra/common/bin/${servicename} -d -P ${pidfile} -l 127.0.0.1 -p ${port:-11211}保存

重启zimbra

zmcontrol restart

好吧 ***消失了

后对zimbra进行了加固，所有内部通讯端口全部监听本机，端口情况见附录

参考文章：

处理方法：

https://forums.zimbra.org/viewtopic.php?t=56493&start=10

端口

关闭无用端口另写文章