Loading ...
Sorry, an error occurred while loading the content.

help: Server kena hack

Expand Messages
  • ekow
    Sore ini, saya pantau mrtg di server saya, uplinknya tinggi, nggak normal saya cek dg netstat bnyk sekali paket sync ke port 22 di server lain saya cek dg ps
    Message 1 of 2 , Nov 1, 2010
    • 0 Attachment
      Sore ini, saya pantau mrtg di server saya, uplinknya tinggi, nggak normal
      saya cek dg netstat bnyk sekali paket sync ke port 22 di server lain
      saya cek dg 'ps axuw;, ternyata ada beberapa script aneh yg berjalan
      sepert bash ./a ip_address dg user yg menjalankan nagios.
      saya cek di /home/nagios ada dir dg nama ./delles yg di dalamnya memang ada
      file-file script yg sdang berjalan.
      saya coba kill semua proses 'aneh' tsb.
      sepertinya sedang ada bruteforce ssh dari server saya ke server org lain.
      saya heran, apakah server saya telah berhasil di-brute force ?
      saya cek di file /var/log/auth.log ada kejanggalan sbb
      Nov 1 17:11:53 debian sshd[12726]: Accepted publickey for nagios from
      86.104.68.32 port 1477 ssh2
      Nov 1 17:11:53 debian sshd[12726]: pam_unix(sshd:session): session opened
      for user nagios by (uid=0)
      Nov 1 17:12:55 debian sshd[12748]: Accepted publickey for nagios from
      86.104.68.32 port 1478 ssh2
      Nov 1 17:12:55 debian sshd[12748]: pam_unix(sshd:session): session opened
      for user nagios by (uid=0)
      Nov 1 17:12:55 debian sshd[12755]: subsystem request for sftp

      saya cek di memang ada file /home/nagios/.ssh/authorized_keys
      yg tertanggal 2010-08-16 19:43
      hanya sampai situlah petunjuk yg saya dapatkan.
      bagaimana si cracker menempatkan file /home/nagios/.ssh/authorized_keys
      belum ketemu, soalnya jg log terakhir bln oktober.
      log sebelumnya entah saya hapus atau hilang atau dihapus.
      kira2 bagaimana cara menelusuri kelemahan sistem saya biar kejadian yg sama
      tidak terulang ?

      Eko
      maaf kalau kepanjangan.


      [Non-text portions of this message have been removed]
    • dedy hariyadi
      ... Mungkin bisa menggunakan deny.hosts, http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts -- Dedy Hariyadi ...
      Message 2 of 2 , Nov 1, 2010
      • 0 Attachment
        2010/11/1 ekow <smudapwt@...>:

        > saya cek di memang ada file /home/nagios/.ssh/authorized_keys
        > yg tertanggal 2010-08-16 19:43
        > hanya sampai situlah petunjuk yg saya dapatkan.
        > bagaimana si cracker menempatkan file /home/nagios/.ssh/authorized_keys
        > belum ketemu, soalnya jg log terakhir bln oktober.
        > log sebelumnya entah saya hapus atau hilang atau dihapus.
        > kira2 bagaimana cara menelusuri kelemahan sistem saya biar kejadian yg sama
        > tidak terulang ?
        >
        Mungkin bisa menggunakan deny.hosts,
        http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts


        --
        Dedy Hariyadi
        ------------------------------------------
        http://www.milisdad.web.id
      Your message has been successfully submitted and would be delivered to recipients shortly.