Artikel lama yang di ambil dari blog.atekbl.or.id
Kalau komputer sudah nyantol ke internet, anda sudah memasuki rimba belantara, Seperti rumah di pinggir jalan orang yang lalu-lalang bisa liat-liat, atau mampir, atau kalau ada yang niat jahat bisa sekalian ngerampok hehehe.
begitu juga di internet, banyak banget orang iseng yang scan sekedar coba-coba.
langsung aja deh hehehehe.
Walau pun Openbsd terkenal sebagai Os paling aman banyak juga yang coba-coba seperti contoh log berikut:
Feb 21 06:16:02 server sshd[17797]: Invalid user staff from 202.53.12.135 Feb 21 06:16:02 server sshd[24084]: input_userauth_request: invalid user staff Feb 21 06:16:02 server sshd[17797]: Failed password for invalid user staff from 202.53.12.135 port 44286 ssh2 Feb 21 06:16:02 server sshd[24084]: Received disconnect from 202.53.12.135: 11: Bye Bye Feb 21 06:16:03 server sshd[14764]: Address 202.53.12.135 maps to vebtel.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Feb 21 06:16:03 server sshd[14764]: Invalid user sales from 202.53.12.135 Feb 21 06:16:03 server sshd[26967]: input_userauth_request: invalid user sales Feb 21 06:16:03 server sshd[14764]: Failed password for invalid user sales from 202.53.12.135 port 45204 ssh2 Feb 21 06:16:03 server sshd[26967]: Received disconnect from 202.53.12.135: 11: Bye Bye Feb 21 06:16:04 server sshd[12117]: Address 202.53.12.135 maps to vebtel.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Feb 21 06:16:04 server sshd[12117]: Invalid user staff from 202.53.12.135 Feb 21 06:16:04 server sshd[1926]: input_userauth_request: invalid user staff Feb 21 06:16:04 server sshd[12117]: Failed password for invalid user staff from 202.53.12.135 port 48835 ssh2 Feb 21 06:18:02 server sshd[1926]: fatal: Timeout before authentication for 202.53.12.135 Feb 21 06:18:02 server sshd[12117]: fatal: Timeout before authentication for 202.53.12.135
tuh Ip penyamun mulai beraksi hehehe.
Dari pada si penyamun menuhin log, dan untuk menghemat space log heheehe kita mulai aksinya.
Buka konfigurasi pf.conf dalam folder /ect
$ sudo vi /etc/pf.conf
tambahkan baris berikut dalam pf.conf
table < bruteforce > persist
block quick from < bruteforce >
pass quick proto { tcp, udp } from any to any port ssh \
flags S/SA keep state \
(max-src-conn 15, max-src-conn-rate 3/10, \
overload < bruteforce > flush global)
note: < bruteforce > seharusnya di tulis tanpa spasi antara < dan >
Kuncinya da pada max-src-conn-rate 3/10
artinya bila dalam 10 detik terjadi 3 koneksi makan akan di masukan dalam tabel bruteforce
dan semua yang ada dalam tabel bruteforce akan di blok.
Kita liat hasil dari table bruteforce tersebut apakah sudah memanen hasil hehehe.
$ sudo pfctl -t bruteforce -T show 82.118.129.137 189.26.101.78 202.53.12.135 202.143.128.133 203.174.48.70 218.106.252.107 218.232.104.223
heheh itu hasil panen selama 1 hari loh...
lumayan mengurangi log. Dan si 202.53.12.135 terjaring dalam operasi tersebut.
maaf ya boss bukannya gak suka sama ente heheheh
Comments
list
apf+bfd juga OK untuk menghadang ssh brute force attack
# cat /etc/apf/deny_hosts.rules
7.202-128-171.unknown.qala.com.sg
# added 202.128.171.7 on 08/02/09 07:03:01 with comment: {bfd.sshd}
202.128.171.7
# added 124.247.222.152 on 08/02/09 18:54:01 with comment: {bfd.sshd}
124.247.222.152