anmsidblog :: Sedikit statistik :: July

Sedikit statistik

July 16, 2007

Saya lupa lagi nemu dari blog siapa (kalo gak salah sih dari salah satu penghuni Planet Ubuntu). Iseng-iseng nyobain script berikut:

bash# zgrep 'Failed password for invalid user' /var/log/auth.log.* |wc -l
11946

bash# zgrep 'Failed password for root' /var/log/auth.log.* |wc -l
2126

Dan hal ini terjadi selama

bash$ uptime
 07:03:44 up 72 days,  2:45,  2 users,  load average: 0.47, 0.39, 0.16

(Uptime-nya masih dikit, dulu tiba-tiba pernah restart, gak tau kenapa, mungkin datacenter-nya mati listrik??!!)

Mungkin masih sedikit, dan sebenarnya gak perlu terlalu khawatir dengan brute force SSH ini. Asal kita yakin aja pake password yang cukup kuat dan tentu saja root gak diperbolehkan SSH (PermitRootLogin no). Cuman ya bikin kesel aja menuh-menuhin email alert isinya laporan brute force SSH mulu.

Dulu pernah nyobain ganti port SSH dari default 22 ke port lain dan terbukti ampuh, gak ada lagi laporan di log. Tapi sekarang ya repot masa mesti nyuruh semua user konfigurasi client SSH/SFTP-nya buat ganti port, kan gak enak juga.
Sekarang pake OSSEC-HIDS lumayan bisa otomatis ngeblok via iptables atau via /etc/hosts_deny IP address yang ngelakuin brute force ini. Laporan dari OSSEC-HIDS berupa email seperti berikut ini

OSSEC HIDS Notification.
2007 Jul 08 14:08:37
	
Received From: panel->/var/log/auth.log
Rule: 5712 fired (level 10) -> \"SSHD brute force trying to get access to the system.\"
Portion of the log(s):
	
Jul  8 14:08:37 panel sshd[12740]: Failed password for invalid user todd from 211.157.109.58 port 48136 ssh2
Jul  8 14:08:35 panel sshd[12740]: Invalid user todd from 211.157.109.58
Jul  8 14:08:26 panel sshd[12737]: Failed password for invalid user todd from 211.157.109.58 port 39968 ssh2
Jul  8 14:08:24 panel sshd[12737]: Invalid user todd from 211.157.109.58
Jul  8 14:08:16 panel sshd[12735]: Failed password for invalid user todd from 211.157.109.58 port 36652 ssh2
Jul  8 14:08:14 panel sshd[12735]: Invalid user todd from 211.157.109.58
Jul  8 14:08:11 panel sshd[12705]: Failed password for invalid user todd from 211.157.109.58 port 60942 ssh2
	
 --END OF NOTIFICATION

(IP siapa tuh?)

Selain OSSEC-HIDS bisa juga pake denyhosts atau fail2ban. Saya juga gak tau tingkat keberhasilan brute force SSH ini, belom pernah nyoba sih ^^. Tapi tidak ada ruginya melakukan usaha pencegahan.

Posted in Rants, Linux and OSS |

2 Comments »

The URI to TrackBack this entry is: http://anmsid.blogsome.com/2007/07/16/sedikit-statistik/trackback/

wah banyak amat sep failed attemptnya? dah ketauan darimana?

Comment by mush — July 18, 2007 @ 7:53 am
Klo yang diatas sih kayaknya sih dari china mush, bukan portugal ^^

whois:211.157.109.58

Comment by anmsid — July 18, 2007 @ 9:06 am

RSS feed for comments on this post.

Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

anmsidblog

Sedikit statistik

2 Comments »

Leave a comment

Recent Entries

Popular Entries

Archives

Categories

Blogroll

Afiliations

Meta:

Webstats

Tag Clouds

My Twitter Updates