BFA to GoldenChoco
Udah beberapa hari terakhir dapet kabar dari si mimin [@budhiap](https://twitter.com/budhiap) kalau server goldenchoco kena [BFA](https://en.wikipedia.org/wiki/Brute-force_attack) dari IP yang asalnya dari Cina. Entah kenapa, saya juga baru sadar dan kalau di liat dari log ssh emang hampir setiap menit mereka mengirimkan serangan BFA ke ssh dari port beragam dengan username yang jelas memang tidak terdaftar di server.
Dan yang ga tanggung-tanggung, dalam 2 hari ada ribuan BFA yang terkirim ke server GC.
IP yang masuk salah satunya:
221.194.44.219
221.194.44.224
221.194.47.249
212.129.59.195
dan yang ngeselinnya untuk IP 221.194.xxx.xxx itu asalnya dari ISP Cina.
Beberapa menit terakhir BFA masih terkirim, tetapi berhasil di tekan dengan menggunakan Fail2Ban dan konfigurasi iptables bawaan linux.
Untuk memblokkir IP dari satu ISP dengan ribuan IPv4 nya bisa dilakukan dari iptables dengan input:
Untuk SSH:
`iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX/XX --dport ssh -j REJECT --reject-with tcp-reset`
Untuk Apache/HTTP server:
`iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX/XX --dport http -j REJECT`
Untuk FTP server:
`iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX/XX --dport ftp -j DROP`
Pastikan cek dulu IP yang masuk dari mana aja dan coba hitung netmask-nya, maksudnya supaya range IP dari satu ISP bisa sekaligus terblock. Misalnya untuk IP 221.194.xxx.xxx itu saya coba hitung netmasknya dengan melihat IP yang mencoba BFA ke server GC dari log sshd dengan mengetikkan perintah berikut:
` grep sshd.\*Failed /var/log/auth.log | less`
Setelah tahu kisaran IP berapa saja yang mencoba BFA hitung netmasknya XXX.XXX.XXX.XXX**/XX** dengan menggunakan netmask calculator dengan link [ini.](http://www.the-art-of-web.com/system/subnet/)
lalu masukkan jumlahnya ke input iptables.
Sumber bacaan:
[1](http://www.the-art-of-web.com/system/fail2ban-log/)
[2](http://www.the-art-of-web.com/system/subnet/)
[3](http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html)
[4](https://ubuntuforums.org/showthread.php?t=840280)
[5](https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04)
Dan yang ga tanggung-tanggung, dalam 2 hari ada ribuan BFA yang terkirim ke server GC.
IP yang masuk salah satunya:
221.194.44.219
221.194.44.224
221.194.47.249
212.129.59.195
dan yang ngeselinnya untuk IP 221.194.xxx.xxx itu asalnya dari ISP Cina.
Beberapa menit terakhir BFA masih terkirim, tetapi berhasil di tekan dengan menggunakan Fail2Ban dan konfigurasi iptables bawaan linux.
Untuk memblokkir IP dari satu ISP dengan ribuan IPv4 nya bisa dilakukan dari iptables dengan input:
Untuk SSH:
`iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX/XX --dport ssh -j REJECT --reject-with tcp-reset`
Untuk Apache/HTTP server:
`iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX/XX --dport http -j REJECT`
Untuk FTP server:
`iptables -I INPUT -p tcp -s XXX.XXX.XXX.XXX/XX --dport ftp -j DROP`
Pastikan cek dulu IP yang masuk dari mana aja dan coba hitung netmask-nya, maksudnya supaya range IP dari satu ISP bisa sekaligus terblock. Misalnya untuk IP 221.194.xxx.xxx itu saya coba hitung netmasknya dengan melihat IP yang mencoba BFA ke server GC dari log sshd dengan mengetikkan perintah berikut:
` grep sshd.\*Failed /var/log/auth.log | less`
Setelah tahu kisaran IP berapa saja yang mencoba BFA hitung netmasknya XXX.XXX.XXX.XXX**/XX** dengan menggunakan netmask calculator dengan link [ini.](http://www.the-art-of-web.com/system/subnet/)
lalu masukkan jumlahnya ke input iptables.
Sumber bacaan:
[1](http://www.the-art-of-web.com/system/fail2ban-log/)
[2](http://www.the-art-of-web.com/system/subnet/)
[3](http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html)
[4](https://ubuntuforums.org/showthread.php?t=840280)
[5](https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04)
Comments
Post a Comment