[ask] ttg portscanning

Discussion in 'Masalah Teknik dan Keamanan' started by am3n, 14 Apr 2010.

Thread Status:
Not open for further replies.
  1. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    Dear Rekans Webhosters,

    saya sering terima email spt ini, yang bilang ada yang melakukan portscan ke server. dengan IP source dan port tujuan yang selalu berbeda2x. awalnya email ttg portscan ini hanya sedikit shg saya ignore saja. tapi saat ini sehari bisa ada 100 email. dan IP-IP tsb lsg di blok secara temporer.

    apakah ini artinya server di ddos ?? jika bukan di ddos, bagaimana caranya mengurangi efek port scan ini? saya sudah setup di CSF jika melakukan portscan lebih dari 5 (default 10) di blok temporer (3jam), dan jika sudah di blok temporer lebih dari 2 kali maka akan di blok permanen (3 hari). tapi tetap saja yang melakukan portscan masih banyak dgn IP source yang berbeda-2x

    mohon bantuan, saran dan petunjuk nya . terima kasih sebelumnya.

    Code:
    From:  <root@id3.XXXwebhoster.com>
    Date: Wed, Apr 14, 2010 at 12:24 AM
    Subject: lfd on id3.XXXwebhoster.com: 94.66.49.36 (GR/Greece/ppp-94-66-49-36.home.otenet.gr) blocked for port scanning
    To: root@id3.XXXwebhoster.com
    
    
    Time:    Wed Apr 14 00:24:58 2010 +0700
    IP:      94.66.49.36 (GR/Greece/ppp-94-66-49-36.home.otenet.gr)
    Hits:    6
    Blocked: Temporary Block
    
    Sample of block hits:
    Apr 14 00:20:11 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24245 PROTO=UDP SPT=36516 DPT=5005 LEN=41
    Apr 14 00:20:12 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24278 PROTO=UDP SPT=36516 DPT=5005 LEN=41
    Apr 14 00:20:15 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24320 PROTO=UDP SPT=36516 DPT=5005 LEN=41
    Apr 14 00:20:24 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24416 PROTO=UDP SPT=36516 DPT=5005 LEN=41
    Apr 14 00:24:52 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=43031 PROTO=UDP SPT=36516 DPT=5005 LEN=41
    Apr 14 00:24:53 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=43075 PROTO=UDP SPT=36516 DPT=5005 LEN=41
    
    
    
     
  2. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    Solusinya coba di aktifkan PS_DELETED nya dari 0 menjadi 1. Maka setiap ada kegiatan port scan akan di terminated langsung.

    Sebenarnya dari keterangan diatas tidak perlu dikhawatirkan.
     
  3. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    hmmm.. berarti tidak masalah kah klo server kita banyak di portscan oleh orang lain?
    apakah server Nicosoft juga banyak terjadi hal ini?
     
  4. maseko

    maseko Apprentice 1.0

    Messages:
    299
    Likes Received:
    1
    Trophy Points:
    18
    udah biasa kok mas kayaknya, saya ampe nyediain satu mail sendiri buat naruh log server kek gini :)..kadang settingan synflood yang kurang pas juga dapat menyebabkan user dengan koneksi lemot bsa dianggap lfd sebagai port scanning.
     
  5. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    Di server saya kejadian seperti itu sudah jaranga terjadi :).
     
  6. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    maseko, bisa dikasih tau settingan synflood yang pas, bagaimana?
    lalu bagaimana caranya agar email ttg portscan ini diarahkan ke alamat email yang berbeda, karena csf/lfd pasti akan kirim email ke user root
     
  7. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    bisa tau anda install script apa? atau bagian apa yang di tuning?
     
  8. nicosoftmedia

    nicosoftmedia (RIP) Community Guide

    Messages:
    2,025
    Likes Received:
    34
    Trophy Points:
    48
    Hmm. Tidak ada tuh. Cuma seting seperti diatas saja bro :).
     
  9. DapurHosting

    DapurHosting Apprentice 1.0

    Messages:
    225
    Likes Received:
    3
    Trophy Points:
    18
    abaikan saja, kalau ada waktu coba kamu keluhkan saja ke ISP yang IP nya digunakan untuk melakukan scan port.
     
  10. am3n

    am3n Apprentice 1.0

    Messages:
    384
    Likes Received:
    2
    Trophy Points:
    18
    terima kasih atas masukannya. 3 hoster sudah menjawab abaikan, oleh karena itu akan saya abaikan :D
    lebih baik saya akan set agar notifikasi ttg portscan ini tidak perlu di email (toh lagi pula tidak akan dibaca)

    case close, please lock, thanks all
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...