seperti /tmp
Regards,
ceye
-Original Message-
From: Arief Yudhawarman [mailto:arief.mi...@jember.net]
Sent: Tuesday, July 28, 2009 10:55
To: tanya-jawab@linux.or.id
Subject: [tanya-jawab] Cek apakah server sdh compromised ?
Salah satu web server kemasukan cracker. Kelihatan dia
ini problem di layer aplikasi.
jadi sulusinya juga di aplikasi.
bisa googling tentang layer7 firewall.
2009/7/30 Arief Yudhawarman :
> On Thu, Jul 30, 2009 at 01:54:22AM +, Arief Yudhawarman wrote:
>>
>> Dia mau masuk sebagai user dhan dan leqhi.
>> Berdasarkan whois ip 114.58.x.x itu ip indos
oh kalo yang kayak gitu sih biasa mas
server saya juga sering digituin. cek aja loh ssh/security/auth.
artinya mereka mau coba masuk via service SSH dengan coba2 username & password.
blom tentu mereka berhasil loh ya...
solusinya:
1. pake sshguard. untuk menekan bruteforce mereka
2. pindahin p
2009/7/30 Arief Yudhawarman :
> Berdasarkan whois ip 114.58.x.x itu ip indosat sedangkan 70.84.178.x itu
> milik theplanet. Perlu dilaporkan ke pihak berwenang (indosat) tidak ?
> Belum pernah sih mengalami hal ini jadi belum tahu protap-nya.
perlu dilaporkan ke abuse@ (lihat whoisnya)
tapi jangan
On Thu, Jul 30, 2009 at 01:54:22AM +, Arief Yudhawarman wrote:
>
> Dia mau masuk sebagai user dhan dan leqhi.
> Berdasarkan whois ip 114.58.x.x itu ip indosat sedangkan 70.84.178.x itu
> milik theplanet. Perlu dilaporkan ke pihak berwenang (indosat) tidak ?
> Belum pernah sih mengalami hal ini
Terimakasih atas tanggapan rekan2 semua. Berikut log yang tercatat
ketika cracker berusaha masuk kembali via ssh:
...
Jul 28 16:54:13 pkusrv1 sshd[23064]: Invalid user dhan from 114.58.213.123
Jul 28 16:54:13 pkusrv1 sshd[23064]: Failed none for invalid user dhan from
114.58.213.123 port 2458 ssh
2009/7/28 Arief Yudhawarman :
> Salah satu web server kemasukan cracker. Kelihatan dia memanfaatkan hole
> di salah satu aplikasi web. Ada script yang mencurigakan di folder /tmp.
> Dia bisa create account, hapus /var/log/lastlog shg log dia masuk tdk
> terlihat. Langkah sementara yg dilakukan buat
2009/7/28 Arief Yudhawarman :
> On Tue, Jul 28, 2009 at 11:15:23AM +0800, Nyoman [D] wrote:
>
>> wah.. kalau dia sudah berhasil membuat account/username dan hapus log,
>> berarti dia sudah sukses menjadi super user dong :).. layak diberi
>> hadiah handuk tuh pak hehehehehe
>
> Selama ini belum pern
On Tue, Jul 28, 2009 at 11:15:23AM +0800, Nyoman [D] wrote:
> wah.. kalau dia sudah berhasil membuat account/username dan hapus log,
> berarti dia sudah sukses menjadi super user dong :).. layak diberi
> hadiah handuk tuh pak hehehehehe
Selama ini belum pernah kebobolan, dulu pernah sekali tapi m
On Tue, 2009-07-28 at 02:54 +, Arief Yudhawarman wrote:
> Salah satu web server kemasukan cracker. Kelihatan dia memanfaatkan hole
> di salah satu aplikasi web. Ada script yang mencurigakan di folder /tmp.
> Dia bisa create account, hapus /var/log/lastlog shg log dia masuk tdk
> terlihat. Langk
Pada 28 Juli 2009 09:54, Arief Yudhawarman menulis:
> Untuk cek apakah server sudah compromised, langkah2 apa yg perlu dilakukan ?
> Saya md5sum `ps` dan `top` dibandingkan dengan server lain (OS sama)
> tidak berbeda. Ada yg lain ?
>
> --
>
> Terimakasih sebelumnya.
>
mungkin bisa di cek mengguna
Salah satu web server kemasukan cracker. Kelihatan dia memanfaatkan hole
di salah satu aplikasi web. Ada script yang mencurigakan di folder /tmp.
Dia bisa create account, hapus /var/log/lastlog shg log dia masuk tdk
terlihat. Langkah sementara yg dilakukan buat partisi /tmp not executable.
Untuk c
12 matches
Mail list logo