62 - Hadits riwayat Abu Hurairah ra. ia berkata: Rasulullah saw.
Home » Blogs » aboen's blog

SSH brute Force

Submitted by aboen on Sat, 2008-08-09 00:00

Artikel lama yang di ambil dari blog.atekbl.or.id
brute-force-2_small.jpg
Kalau komputer sudah nyantol ke internet, anda sudah memasuki rimba belantara, Seperti rumah di pinggir jalan orang yang lalu-lalang bisa liat-liat, atau mampir, atau kalau ada yang niat jahat bisa sekalian ngerampok hehehe.

begitu juga di internet, banyak banget orang iseng yang scan sekedar coba-coba.
langsung aja deh hehehehe.
Walau pun Openbsd terkenal sebagai Os paling aman banyak juga yang coba-coba seperti contoh log berikut:

Feb 21 06:16:02 server sshd[17797]: Invalid user staff from 202.53.12.135
Feb 21 06:16:02 server sshd[24084]: input_userauth_request: invalid user staff

Feb 21 06:16:02 server sshd[17797]: Failed password for invalid user staff from 202.53.12.135 port 44286 ssh2
Feb 21 06:16:02 server sshd[24084]: Received disconnect from 202.53.12.135: 11: Bye Bye
Feb 21 06:16:03 server sshd[14764]: Address 202.53.12.135 maps to vebtel.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 21 06:16:03 server sshd[14764]: Invalid user sales from 202.53.12.135
Feb 21 06:16:03 server sshd[26967]: input_userauth_request: invalid user sales
Feb 21 06:16:03 server sshd[14764]: Failed password for invalid user sales from 202.53.12.135 port 45204 ssh2
Feb 21 06:16:03 server sshd[26967]: Received disconnect from 202.53.12.135: 11: Bye Bye
Feb 21 06:16:04 server sshd[12117]: Address 202.53.12.135 maps to vebtel.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 21 06:16:04 server sshd[12117]: Invalid user staff from 202.53.12.135
Feb 21 06:16:04 server sshd[1926]: input_userauth_request: invalid user staff
Feb 21 06:16:04 server sshd[12117]: Failed password for invalid user staff from 202.53.12.135 port 48835 ssh2
Feb 21 06:18:02 server sshd[1926]: fatal: Timeout before authentication for 202.53.12.135
Feb 21 06:18:02 server sshd[12117]: fatal: Timeout before authentication for 202.53.12.135

tuh Ip penyamun mulai beraksi hehehe.
Dari pada si penyamun menuhin log, dan untuk menghemat space log heheehe kita mulai aksinya.

Buka konfigurasi pf.conf dalam folder /ect
$ sudo vi /etc/pf.conf
tambahkan baris berikut dalam pf.conf 

table < bruteforce > persist
block quick from < bruteforce >

pass quick proto { tcp, udp } from any to any port ssh \
        flags S/SA keep state \
        (max-src-conn 15, max-src-conn-rate 3/10, \
        overload < bruteforce > flush global)

note: < bruteforce > seharusnya di tulis tanpa spasi antara < dan >
Kuncinya da pada max-src-conn-rate 3/10
artinya bila dalam 10 detik terjadi 3 koneksi makan akan di masukan dalam tabel bruteforce
dan semua yang ada dalam tabel bruteforce akan di blok.

Kita liat hasil dari table bruteforce tersebut apakah sudah memanen hasil hehehe.

$ sudo pfctl -t bruteforce -T show
   82.118.129.137
   189.26.101.78
   202.53.12.135
   202.143.128.133
   203.174.48.70
   218.106.252.107
   218.232.104.223

heheh itu hasil panen selama 1 hari loh...
lumayan mengurangi log. Dan si 202.53.12.135 terjaring dalam operasi tersebut.
maaf ya boss bukannya gak suka sama ente heheheh