Kemarin ada hacker yang masuk di salah satu server customer saya...dengan password root lagi....fiuh.
hacker tersebut create username admin dan meletakkan script ssh scan dan brute force ke server yang lain.
Ini Lognya
Sep 8 02:06:16 join2 sshd[5331]: Accepted password for root from 182.0.208.23 port 49169 ssh2
Lalu dia login sebagai admin dan menjalankan script ssh scan
Sep 8 07:08:34 join2 sshd[14256]: Accepted password for admin from 77.28.155.222 port 1488 ssh2
Dia menjalankan script yang menjalankan ssh-can sampai 600 connection
Akhirnya saya ganti password root dengan passowrd lebih complex dan menghapus user admin
Ini log saat user admin mencoba login lagi untuk login setelah user saya hapus
Sep 8 16:34:55 join2 sshd[23760]: input_userauth_request: invalid user adminSep 8 16:34:55 join2 sshd[23760]: Failed none for invalid user admin from 77.28.155.222 port 3433 ssh2Sep 8 16:34:59 join2 sshd[23760]: Failed password for invalid user admin from 77.28.155.222 port 3433 ssh2Sep 8 16:35:08 join2 last message repeated 2 timesSep 8 16:35:14 join2 sshd[23760]: Connection closed by 77.28.155.222Sep 8 16:35:24 join2 sshd[23896]: Invalid user admin from 77.28.155.222Sep 8 16:35:24 join2 sshd[23896]: input_userauth_request: invalid user adminSep 8 16:35:24 join2 sshd[23896]: Failed none for invalid user admin from 77.28.155.222 port 3434 ssh2Sep 8 16:35:28 join2 sshd[23896]: Failed password for invalid user admin from 77.28.155.222 port 3434 ssh2
Sep 8 16:34:55 join2 sshd[23760]: input_userauth_request: invalid user adminSep 8 16:34:55 join2 sshd[23760]: Failed none for invalid user admin from 77.28.155.222 port 3433 ssh2Sep 8 16:34:59 join2 sshd[23760]: Failed password for invalid user admin from 77.28.155.222 port 3433 ssh2Sep 8 16:35:08 join2 last message repeated 2 timesSep 8 16:35:14 join2 sshd[23760]: Connection closed by 77.28.155.222Sep 8 16:35:24 join2 sshd[23896]: Invalid user admin from 77.28.155.222Sep 8 16:35:24 join2 sshd[23896]: input_userauth_request: invalid user adminSep 8 16:35:24 join2 sshd[23896]: Failed none for invalid user admin from 77.28.155.222 port 3434 ssh2Sep 8 16:35:28 join2 sshd[23896]: Failed password for invalid user admin from 77.28.155.222 port 3434 ssh2
Hahaha..... kasian deh lo... :D gak bisa login lagi
Dan Solusi saya untuk masalah ini adalah
1. Merubah password root dengan lebih komplex lagi
2. Merubah port default ssh
3. Install Logwatch untuk monitoring tindakan yang mencurigakan via email
4. Menjalankan script iptables sebagai berikut
#### Me blok paket port 22 setelah fail login selama 10 detik
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 10 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT
### Langsung blok akses dari IP yang mencurigakan ... hahaha kejam pokoke
iptables -A INPUT -i eth0 -s 182.0.208.23 -j DROP
iptables -A INPUT -i eth0 -s 173.208.127.186 -j DROP
iptables -A INPUT -i eth0 -s 131.103.218.136 -j DROP
iptables -A INPUT -i eth0 -s 77.28.155.222 -j DROP
NB : Kita harus selalu mantau aktifitas di server kita, karena tidak ada system security yang 100% Handal
Mohon tambahannya dari para master security, bagaimana cara menanggulangi masalah seperti ini
