Feb 5, 2010

Antisipasi SSH Brute Force Attack

Sebenarnya saya sudah malas menulis tutorial dan sejenisnya, tapi karena belakangan ini ada report dari temen temen masalah sering muncul log failed login ke ssh, yang kebanyakan dari IP luar. Ya, ini pasti brute force attack.

Setelah googling kesana kesini, akhrinya dapat cara sederhana untuk mengantisipasi serangan brute force SSH

#!/bin/bash
#This script will monitor for failed login attempts and after a specified number of times add the ip to a deny list
#Chad
LOGFILE=”/var/log/secure”
HOSTSDENY=”/etc/hosts.deny”
BADCOUNT=”5″
# read logfile and look for invalid login attemps
grep sshd $LOGFILE |grep “Invalid user”| awk ‘{print $NF}’|sort|uniq -c|sort -n|sed “s/[[:space:]]*//” | while
read i
do
# read number of failed attempts
count=`echo $i | cut -d” ” -f1`
# read ip address from failed attempt
ip=`echo $i | cut -d” ” -f2`
#check hostdeny file to see if IP already exist
already=`grep $ip $HOSTSDENY | grep sshd`
#if IP does not exist add it to hostdeny file
if [ -z "$already"  ]
then
if [ "$count" -ge "$BADCOUNT" ]
then
echo “sshd: “$ip >> $HOSTSDENY
fi
fi
done

Simpan script di atas dan jalankan dengan cron. Disini kita memanfaatkan hosts.deny , sehingga untuk 5 kali failed login SSH, secara otomatis IP nya akan di masukkan ke dalam hosts.deny server

Share and Enjoy:
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Blogplay
  • Posterous

Category: Hacking

Tagged: ,

16 Responses

  1. Hamid says:
    February 5, 2010 at 9:26 am

    Wah. Om yudi carder hebat sekali… *kagum*

  2. bernadsatriani says:
    February 5, 2010 at 2:23 pm

    @hamid
    hahahah hus hus hus

  3. masdapit says:
    February 5, 2010 at 4:43 pm

    Ooow… jadi gitu toh ya ya ya…

    Dan beberapa webpanel, salah satu contoh cPanel/WHM sudah memberikan fasilitas itu. Tinggal di enable / disable. Dari sisi security & firewallnya juga sudah ada settingan untuk itu.

    Jadi itu ato ini informasi ini sangat bermanfaat ini itu *halah

    Salut to #yudicarder

  4. Crussd2 says:
    February 5, 2010 at 4:46 pm

    Yudi Carder sakti xD

  5. Omyn says:
    February 5, 2010 at 6:26 pm

    Test Komen, warna backgroundnya moga-moga kuning .. buhahahah

  6. bernadsatriani says:
    February 5, 2010 at 10:30 pm

    @masdapit
    huehehe
    ampun juragan XD

    @crussd2
    *lempar ssh*

    @omyn
    bercak kuning po?

  7. xXfaZzXx says:
    February 13, 2010 at 4:26 am

    ha ha ha

    sorry OOT

    klo cara colok- colok SSH-2.0-OpenSSH_4.5 cemana sih ?
    binun ane.

    klo ada , tolong kasih tau ane yah gay eh guys :P

    ha ha

  8. bernadsatriani says:
    February 13, 2010 at 5:21 pm

    @xXfaZzXx
    wah sayangnya ane kagak mudeng ni..
    xixixixi

  9. kentruk says:
    February 18, 2010 at 7:37 pm

    woh,tep #yudicarder nek iki

  10. bernadsatriani says:
    February 19, 2010 at 3:11 am

    @kentruk
    #yudicarder ki sapa truk?

  11. afithk says:
    February 21, 2010 at 8:49 am

    mas e heker :P

  12. bernadsatriani says:
    February 23, 2010 at 9:38 am

    @afithk
    mas e karder :p

  13. anjar says:
    February 25, 2010 at 6:40 pm

    sebelum di brute force, ganti aj portnya..:D

  14. bernadsatriani says:
    February 27, 2010 at 10:44 am

    @anjar
    dolo udah, tp bbrp alasan akhirnya di balikin ke semula
    di markas besar n via hp klo ganti port ga bisa di akses
    klo di markas kepaksa pake tunnel dolo

  15. apaajha says:
    March 6, 2010 at 9:20 am

    script dari sebelah y…?
    tambahan aja, script ini ga berlaku jika attacker menggunakan user root dalam aksi brute force nya…

    Regards,

  16. bernadsatriani says:
    March 7, 2010 at 10:43 pm

    @apaajha
    yoyoy

    lah kalo login as root, ngapain juga nge brute ssh nya lagi :)

Leave a Reply