Memblokir Brute Force Webserver Ubuntu

Posted by admin in Education, Linux, Security, TipsTricks, WebServer, Webhosting Sunday, 7 February 2010 05:29 No Comments

Brute Force atau gaya hacking bobol password coba-coba memang banyak digemari oleh para hacker dalam melakukan testing terhadap korbannya.

Karena bisa jadi apabila sang hacker sedang beruntung dengan password yang dicoba-cobanya itu.

Weiss maka database pada webserver akan otomatis berpindah tangan dan kekuasaan kepada sang hacker. Oke tanpa banyak cuap-cuap lagi, begini caranya :

Cara kerja skrip

Untuk memblokir aksi Brute Force pada webserver. Setiap otentikasi, berhasil atau gagal, akan dicatat oleh syslog. Pada Debian/Ubuntu file lognya ada di /var/log/auth.log. Log SSH yang gagal akan berbentuk seperti ini:

Situstarget.host adalah nama host atau alamat IP pengakses. Skrip tinggal melihat apakah ada baris-baris seperti ini yang banyak jumlahnya dari sebuah host.

Jika ada (di skrip dibatasi minimal 100, baris 14) maka host ini menjadi target untuk kita masukkan dalam daftar hitam agar diblokir. Bagaimana cara memblokirnya?

Yaitu dengan memasukkannya ke dalam /etc/hosts.deny. Setiap kali otentikasi, daemon SSH atau proftpd akan berkonsultasi pada file ini (dan pasangannya, /etc/hosts.allow). Jika sebuah host ada di /etc/hosts.deny, maka akan ditolak.

Skrip akan mendaftarkan host-host jahat ke dalam baris-baris di file /etc/hosts.deny.ssh untuk SSH dan /etc/hosts.deny.proftpd untuk ProFTPD, misalnya:

evil.host #1202019905

Angka pada baris di atas hanyalah komentar, berisi timestamp Unix. Timestamp ini kita catat agar dapat melepas blokir secara otomatis.

Di skrip diset agar sebuah host yang telah terdaftar selama 1 minggu atau lebih (baris 15) akan dihapus dari daftar hitam. Mekanisme penghapusan entri lama ini dilakukan di baris 19-33.

Cara menginstal dan memakai skrip

Ketik dan simpanlah skrip misalnya di /usr/sbin/bfa. Setelah itu, pasanglah sebagai entri cron agar dijalankan secara otomatis. Misalnya, untuk dijalankan setiap hari sekali:

# cd /etc/cron.daily
# echo -e ‘#!/bin/sh\n[ -f /usr/sbin/bfa ] || exit 0\n/us/sbin/bfa’> bfa
# chmod

Bisa juga dijalankan setiap jam, Anda tinggal mengganti cron.daily dengan cron.hourly.

Selanjutnya, tambahkan 2 baris ini di /etc/hosts.deny:

sshd: /etc/hosts.deny.sshd
proftpd: /etc/hosts.deny.proftpd

Sumber : Nangkene sumbernya

Tags: Education, Linux, Security, tips, Tips&Trick, Webhosting, WebServer

This entry was posted on Sunday, February 7th, 2010 at 5:29 am and is filed under Education, Linux, Security, TipsTricks, WebServer, Webhosting. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

You must be logged in to post a comment.