On Fri, Jun 16, 2006 at 07:55:22AM +0700, dodo wrote: > Bagaimana cara mengatasi serangan spt log dari Logwatch dibawah ini ? > Apakah mail server kami sudah disusupi ?
Kan "failed".
Beberapa cara:
- batasi sshd supaya hanya user2 tertentu yg bisa login, edit ini di
/etc/ssh/sshd_config:
PermitRootLogin no
AllowUsers ronny dodo
- pasang rules ini di iptables supaya kalo connect ke sshd berturut2 lebih dr 3x
dalam 1 menit langsung diblock: (ganti 192.168.1.4 dg IP anda)
iptables -N SSH_CHECK
iptables -A INPUT -d 192.168.1.4 -p tcp -m tcp --dport 22 -m state --state
NEW -j SSH_CHECK
iptables -A SSH_CHECK -m state --state NEW -m recent --set --name SSH
--rsource
iptables -A SSH_CHECK -m state --state NEW -m recent --update --seconds 60
--hitcount 4 --name SSH --rsource
iptables -A SSH_CHECK -m state --state NEW -m recent --rcheck --seconds 60
--hitcount 4 --name SSH --rsource -j DROP
Ronny
signature.asc
Description: Digital signature
