Re: [tanya-jawab] ada apa dengan server saya ?

Sun, 05 Feb 2006 19:35:41 -0800 

>   Mau tanya,
> saya abis cek di /var/log/messages, ternyata lognya jalan terus -
> panjang sekali - seperti dibawah ini, padahal timing waktu saya cek
> adalah malam hari, jadi tidak ada yg masuk untuk cek email atau apapun.
> sepertinya activitinya kayak brute force password gitu. keselnya, ada
> sebagian user yg dia bisa login, meskipun user tersebut saya kasih dead
> shell (istilah saya utk shell yang kalo masuk, gak bisa ngapa2xin, atau
> hanya bisa exit doang).
> Akhirnya saya ambil kesimpulan service ssh saya matikan di firewall. dan
> memang lognya langsung berhenti.
> pertanyaannya :
> 1. apa server saya diserang ?
> 2. bagaimanya nyalain alertnya ya ? (via email dll) soalnya saya tidak
> bisa 24 jam mantengin server
> 3. service ssh juga harus saya nyalain lagi buat monitoring, kalo
> ngrubah port ssh dimana ya ?
>
>
> berikut petikan lognya.
> ......bla2x isinya sama dengan dibawah.......
> Feb  2 19:54:21 mail sshd[31405]: Failed password for lp from 10.0.0.3
> port 28792 ssh2
> Feb  2 19:58:57 mail sshd(pam_unix)[31208]: session closed for user netta
> Feb  2 19:58:57 mail su(pam_unix)[31238]: session closed for user root
> Feb  2 20:03:22 mail sshd[31604]: Accepted password for netta from
> 10.0.0.33 port 3240 ssh2
> Feb  2 20:03:22 mail sshd(pam_unix)[31606]: session opened for user
> netta by (uid=0)
> Feb  2 20:03:32 mail su(pam_unix)[31633]: session opened for user root
> by netta(uid=5001)
> Feb  2 20:04:21 mail sshd[31407]: fatal: Timeout before authentication
> for 10.0.0.3
> Feb  2 20:05:23 mail sshd[31714]: Illegal user abi from 10.0.0.33
> Feb  2 20:05:23 mail sshd[31714]: Failed none for illegal user abi from
> 10.0.0.33 port 3243 ssh2
> Feb  2 20:05:27 mail sshd[31714]: Failed password for illegal user abi
> from 10.0.0.33 port 3243 ssh2
> *Feb  2 20:10:01 mail sshd(pam_unix)[31376]: session closed for user info*
>

1.ada yang bermaksud masuk ke server anda melalui SSH
dengan memakai username abi, lp dari IP 10.0.0.33

2. pake snort, prelude ato yg lainnya, trus untuk konfirmasi set aja
melalui email

3.untuk merubah portnya coba di edit file sshd_config


-- 
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke [EMAIL PROTECTED]
Arsip dan info milis selengkapnya di http://linux.or.id/milis

Kirim email ke