Sebenarnya saya sudah malas menulis tutorial dan sejenisnya, tapi karena belakangan ini ada report dari temen temen masalah sering muncul log failed login ke ssh, yang kebanyakan dari IP luar. Ya, ini pasti brute force attack.
Setelah googling kesana kesini, akhrinya dapat cara sederhana untuk mengantisipasi serangan brute force SSH
#!/bin/bash
#This script will monitor for failed login attempts and after a specified number of times add the ip to a deny list
#Chad
LOGFILE=”/var/log/secure”
HOSTSDENY=”/etc/hosts.deny”
BADCOUNT=”5″
# read logfile and look for invalid login attemps
grep sshd $LOGFILE |grep “Invalid user”| awk ‘{print $NF}’|sort|uniq -c|sort -n|sed “s/[[:space:]]*//” | while
read i
do
# read number of failed attempts
count=`echo $i | cut -d” ” -f1`
# read ip address from failed attempt
ip=`echo $i | cut -d” ” -f2`
#check hostdeny file to see if IP already exist
already=`grep $ip $HOSTSDENY | grep sshd`
#if IP does not exist add it to hostdeny file
if [ -z "$already" ]
then
if [ "$count" -ge "$BADCOUNT" ]
then
echo “sshd: “$ip >> $HOSTSDENY
fi
fi
done
Simpan script di atas dan jalankan dengan cron. Disini kita memanfaatkan hosts.deny , sehingga untuk 5 kali failed login SSH, secara otomatis IP nya akan di masukkan ke dalam hosts.deny server
23 Comments
Wah. Om yudi carder hebat sekali… *kagum*
@hamid
hahahah hus hus hus
Ooow… jadi gitu toh ya ya ya…
Dan beberapa webpanel, salah satu contoh cPanel/WHM sudah memberikan fasilitas itu. Tinggal di enable / disable. Dari sisi security & firewallnya juga sudah ada settingan untuk itu.
Jadi itu ato ini informasi ini sangat bermanfaat ini itu *halah
Salut to #yudicarder
Yudi Carder sakti xD
Test Komen, warna backgroundnya moga-moga kuning .. buhahahah
@masdapit
huehehe
ampun juragan XD
@crussd2
*lempar ssh*
@omyn
bercak kuning po?
ha ha ha
sorry OOT
klo cara colok- colok SSH-2.0-OpenSSH_4.5 cemana sih ?
binun ane.
klo ada , tolong kasih tau ane yah gay eh guys
ha ha
@xXfaZzXx
wah sayangnya ane kagak mudeng ni..
xixixixi
woh,tep #yudicarder nek iki
@kentruk
#yudicarder ki sapa truk?
mas e heker
@afithk
mas e karder :p
sebelum di brute force, ganti aj portnya..:D
@anjar
dolo udah, tp bbrp alasan akhirnya di balikin ke semula
di markas besar n via hp klo ganti port ga bisa di akses
klo di markas kepaksa pake tunnel dolo
script dari sebelah y…?
tambahan aja, script ini ga berlaku jika attacker menggunakan user root dalam aksi brute force nya…
Regards,
@apaajha
yoyoy
lah kalo login as root, ngapain juga nge brute ssh nya lagi
wew, mantap kali #yudicarder ini..
wha ini ini.. *klik-kanan sep as* #minggat
@tedi
woh programmer e teko
Ctrl+D (Bookmark)
mas bernad sakti eh…
@astonix
hayah XD *keplak
@bernadsatriani
maksudnya klo si hacker ngebrute alias nembak user root kita.. script ini ga berlaku alias basi kayak nasi kerak ga pake telor wakakaa… pizz kk… pake BFD lebih di sarankan kk… coba jalanin perintah
#cat /var/log/secure | grep root
pasti masih kebobolan…
dibobol