Email Hack (SMTP FAILED LOGIN)


Status
Not open for further replies.

gatotkacahost.com

Poster 1.0
Dear para mastah...
Di server kami terdeteksi beberapa ip di blacklist oleh firewall karena salah login smtp mail sampai 5 kali.
dan di cek bukan hanya 1 atau 2 tapi banyak banget.

IPnya bukan dari 1 ip tapi dari berbagai negara, tidak perlu disebutkan negara2nya, soalnya banyak banget :D

salah satu contoh report via email :

Code:
Reverse DNS: 95-30-240-167.broadband.corbina.ru

Origin Country: Russian Federation (RU)
Code:
Reverse DNS: cordsless-turnout.volia.net

Origin Country: Ukraine (UA)
Code:
Reverse DNS: node-115.pool-125-26.dynamic.totbb.net

Origin Country: Thailand (TH)
Code:
Reverse DNS: 187-84-210.18.static.stech.net.br

Origin Country: Brazil (BR)

Apakah ini pertanda ada yang ngehack salah satu email user di cpanel ?
atau apakah ini suatu penyerangan ?

mohon bimbinganya ya :)
 

ceo.ahlul

Expert 1.0
Itu sepertinya botnet mas, memang botnet sering melakukan serangan bruteforce kemana-mana.

Kebanyakan kalau berdasarkan prilakunya, target adalah acak (mungkin hasl dari search engine/komputer terinfeksi/dll) jadi sepertinya bukan khusus menyerang.
 

galuh82

Hosting Guru
Verified Provider
benar, saya juga sering dapat notif seperti itu ..
 

gatotkacahost.com

Poster 1.0
Itu sepertinya botnet mas, memang botnet sering melakukan serangan bruteforce kemana-mana.

Kebanyakan kalau berdasarkan prilakunya, target adalah acak (mungkin hasl dari search engine/komputer terinfeksi/dll) jadi sepertinya bukan khusus menyerang.

oh begitu ya mas..
nah cara penangananya seperti apa ya mas, siapa tau mas pernah memberantas botnet dengan trik2 khusus, biar menjadi ilmu yang bermanfaat :D

iya saya jg sering dpt seperti itu namun IP yg paling banyak dari Cina

benar, saya juga sering dapat notif seperti itu ..

apakah sudah ada obatnya mas ? :D
 

galuh82

Hosting Guru
Verified Provider
kalau targetnya smtp (post 25), mungkin bisa dicoba blok dan aktifkan altenative smtp portnya, trus broadcast ke client biar pake alternatif smtp port :) CMIIW
 

gatotkacahost.com

Poster 1.0
kalau targetnya smtp (post 25), mungkin bisa dicoba blok dan aktifkan altenative smtp portnya, trus broadcast ke client biar pake alternatif smtp port :) CMIIW

Secara default memang sudah di alihkan ke port lain mas dan di blok..
nah mungkin di blok salah satu karena tidak memakai port 25 juga, si botnet mungkin menggunakan port 25.
 

ceo.ahlul

Expert 1.0
oh begitu ya mas..
nah cara penangananya seperti apa ya mas, siapa tau mas pernah memberantas botnet dengan trik2 khusus, biar menjadi ilmu yang bermanfaat :D

He2 kalau disini biasanya kita anggap itu hanya "say hello" aja mas.. jadi diabaikan saja.. karena dengan CSF jika memang salah beberapa kali akan terblokir. Dan juga dengan asumsi password mengandung bahasa indonesia dan prilaku orang indonesia yang berbeda dengan luar negeri bisa jadi butuh sangat lama untuk mengetahui password dnegan bruteforce apalagi setelah sekian percobaan akan di blok oleh cpanel. Pun digilir misalkan ratusan IP oleh bot net tetap saja akan butuh waktu lama.

Namun hal di atas perlu dicatat jika memang masnya menemukan intensitas coba-coba nya biasa saja. Kalau misal intensitas tinggi, mungkin bisa mas pelajari langsung saat kejadian.

Mungkin tambahan lainnya adalah selalu mengingatkan user untuk ganti password berkala dan jangan menggunakan kata yang mudah ditebak.
 

voezie

Hosting Guru
Kalau pakai csf, coba diaktifkan fitur csf.blocklists nya, tinggal uncomment filter ip yang diinginkan misalnya kayak gini:

# Spamhaus Don't Route Or Peer List (DROP)
# Details: http://www.spamhaus.org/drop/
SPAMDROP|86400|0|http://www.spamhaus.org/drop/drop.lasso

# Spamhaus Extended DROP List (EDROP)
# Details: http://www.spamhaus.org/drop/
SPAMEDROP|86400|0|http://www.spamhaus.org/drop/edrop.lasso

# DShield.org Recommended Block List
# Details: http://dshield.org
DSHIELD|86400|0|http://feeds.dshield.org/block.txt

# TOR Exit Nodes
# Details: https://trac.torproject.org/projects/tor/wiki/doc/TorDNSExitList
TOR|86400|0|http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1

# BOGON list
# Details: http://www.team-cymru.org/Services/Bogons/
BOGON|86400|0|http://www.cymru.com/Documents/bogon-bn-agg.txt

# Project Honey Pot Directory of Dictionary Attacker IPs
# Details: http://www.projecthoneypot.org
HONEYPOT|86400|0|http://www.projecthoneypot.org/list_of_ips.php?t=d&rss=1

# C.I. Army Malicious IP List
# Details: http://www.ciarmy.com
CIARMY|86400|0|http://www.ciarmy.com/list/ci-badguys.txt

# BruteForceBlocker IP List
# Details: http://danger.rulez.sk/index.php/bruteforceblocker/
BFB|86400|0|http://danger.rulez.sk/projects/bruteforceblocker/blist.php

# Emerging Threats - Russian Business Networks List
# Details: http://doc.emergingthreats.net/bin/view/Main/RussianBusinessNetwork
RBN|86400|0|http://rules.emergingthreats.net/blockrules/rbn-ips.txt

# OpenBL.org 30 day List
# Details: http://www.openbl.org
OPENBL|86400|0|http://www.us.openbl.org/lists/base_30days.txt

# Autoshun Shun List
# Details: http://www.autoshun.org/
AUTOSHUN|86400|0|http://www.autoshun.org/files/shunlist.csv

# MaxMind GeoIP Anonymous Proxies
# Details: http://www.maxmind.com/en/anonymous_proxies
MAXMIND|86400|0|http://www.maxmind.com/en/anonymous_proxies

Rata-rata ip botnet / spambot sudah masuk ke filter itu semua, cuma bakal ngabisin resource cpu/memory
 

gatotkacahost.com

Poster 1.0
He2 kalau disini biasanya kita anggap itu hanya "say hello" aja mas.. jadi diabaikan saja.. karena dengan CSF jika memang salah beberapa kali akan terblokir. Dan juga dengan asumsi password mengandung bahasa indonesia dan prilaku orang indonesia yang berbeda dengan luar negeri bisa jadi butuh sangat lama untuk mengetahui password dnegan bruteforce apalagi setelah sekian percobaan akan di blok oleh cpanel. Pun digilir misalkan ratusan IP oleh bot net tetap saja akan butuh waktu lama.

Namun hal di atas perlu dicatat jika memang masnya menemukan intensitas coba-coba nya biasa saja. Kalau misal intensitas tinggi, mungkin bisa mas pelajari langsung saat kejadian.

Mungkin tambahan lainnya adalah selalu mengingatkan user untuk ganti password berkala dan jangan menggunakan kata yang mudah ditebak.

bener juga mas alul :D
paling tinggal ingatkan user untuk ganti password berkala :D

terima kasih mas atas saran dan ilmunya..
semoga bermanfaat dunia akhirat :)

Kalau pakai csf, coba diaktifkan fitur csf.blocklists nya, tinggal uncomment filter ip yang diinginkan misalnya kayak gini:



Rata-rata ip botnet / spambot sudah masuk ke filter itu semua, cuma bakal ngabisin resource cpu/memory

wah bagus juga nih, tak coba dulu mas saranya, nanti lihat efek dahulu apakah resourcnya memadai atau tidak :D
 
Status
Not open for further replies.

Top