Email Hack (SMTP FAILED LOGIN)

Discussion in 'Web Hosting' started by gatotkacahost.com, 26 Mar 2014.

Thread Status:
Not open for further replies.
  1. gatotkacahost.com

    gatotkacahost.com Poster 1.0

    Messages:
    193
    Likes Received:
    26
    Trophy Points:
    28
    Dear para mastah...
    Di server kami terdeteksi beberapa ip di blacklist oleh firewall karena salah login smtp mail sampai 5 kali.
    dan di cek bukan hanya 1 atau 2 tapi banyak banget.

    IPnya bukan dari 1 ip tapi dari berbagai negara, tidak perlu disebutkan negara2nya, soalnya banyak banget :D

    salah satu contoh report via email :

    Code:
    Reverse DNS: 95-30-240-167.broadband.corbina.ru
    
    Origin Country: Russian Federation (RU)
    Code:
    Reverse DNS: cordsless-turnout.volia.net
    
    Origin Country: Ukraine (UA)
    Code:
    Reverse DNS: node-115.pool-125-26.dynamic.totbb.net
    
    Origin Country: Thailand (TH)
    Code:
    Reverse DNS: 187-84-210.18.static.stech.net.br
    
    Origin Country: Brazil (BR)
    Apakah ini pertanda ada yang ngehack salah satu email user di cpanel ?
    atau apakah ini suatu penyerangan ?

    mohon bimbinganya ya :)
     
  2. ceo.ahlul

    ceo.ahlul Expert 1.0 Web Hosting (Company)

    Messages:
    622
    Likes Received:
    255
    Trophy Points:
    63
    Itu sepertinya botnet mas, memang botnet sering melakukan serangan bruteforce kemana-mana.

    Kebanyakan kalau berdasarkan prilakunya, target adalah acak (mungkin hasl dari search engine/komputer terinfeksi/dll) jadi sepertinya bukan khusus menyerang.
     
  3. galuh82

    galuh82 Hosting Guru Web Hosting (Company)

    Messages:
    2,514
    Likes Received:
    186
    Trophy Points:
    63
    benar, saya juga sering dapat notif seperti itu ..
     
  4. pluto01

    pluto01 Hosting Guru Web Hosting

    Messages:
    3,668
    Likes Received:
    755
    Trophy Points:
    113
    iya saya jg sering dpt seperti itu namun IP yg paling banyak dari Cina
     
    gatotkacahost.com likes this.
  5. gatotkacahost.com

    gatotkacahost.com Poster 1.0

    Messages:
    193
    Likes Received:
    26
    Trophy Points:
    28
    oh begitu ya mas..
    nah cara penangananya seperti apa ya mas, siapa tau mas pernah memberantas botnet dengan trik2 khusus, biar menjadi ilmu yang bermanfaat :D

    apakah sudah ada obatnya mas ? :D
     
  6. galuh82

    galuh82 Hosting Guru Web Hosting (Company)

    Messages:
    2,514
    Likes Received:
    186
    Trophy Points:
    63
    kalau targetnya smtp (post 25), mungkin bisa dicoba blok dan aktifkan altenative smtp portnya, trus broadcast ke client biar pake alternatif smtp port :) CMIIW
     
    gatotkacahost.com likes this.
  7. gatotkacahost.com

    gatotkacahost.com Poster 1.0

    Messages:
    193
    Likes Received:
    26
    Trophy Points:
    28
    Secara default memang sudah di alihkan ke port lain mas dan di blok..
    nah mungkin di blok salah satu karena tidak memakai port 25 juga, si botnet mungkin menggunakan port 25.
     
  8. ceo.ahlul

    ceo.ahlul Expert 1.0 Web Hosting (Company)

    Messages:
    622
    Likes Received:
    255
    Trophy Points:
    63
    He2 kalau disini biasanya kita anggap itu hanya "say hello" aja mas.. jadi diabaikan saja.. karena dengan CSF jika memang salah beberapa kali akan terblokir. Dan juga dengan asumsi password mengandung bahasa indonesia dan prilaku orang indonesia yang berbeda dengan luar negeri bisa jadi butuh sangat lama untuk mengetahui password dnegan bruteforce apalagi setelah sekian percobaan akan di blok oleh cpanel. Pun digilir misalkan ratusan IP oleh bot net tetap saja akan butuh waktu lama.

    Namun hal di atas perlu dicatat jika memang masnya menemukan intensitas coba-coba nya biasa saja. Kalau misal intensitas tinggi, mungkin bisa mas pelajari langsung saat kejadian.

    Mungkin tambahan lainnya adalah selalu mengingatkan user untuk ganti password berkala dan jangan menggunakan kata yang mudah ditebak.
     
    gatotkacahost.com likes this.
  9. voezie

    voezie Hosting Guru

    Messages:
    1,771
    Likes Received:
    212
    Trophy Points:
    63
    Kalau pakai csf, coba diaktifkan fitur csf.blocklists nya, tinggal uncomment filter ip yang diinginkan misalnya kayak gini:

    Rata-rata ip botnet / spambot sudah masuk ke filter itu semua, cuma bakal ngabisin resource cpu/memory
     
    gatotkacahost.com likes this.
  10. gatotkacahost.com

    gatotkacahost.com Poster 1.0

    Messages:
    193
    Likes Received:
    26
    Trophy Points:
    28
    bener juga mas alul :D
    paling tinggal ingatkan user untuk ganti password berkala :D

    terima kasih mas atas saran dan ilmunya..
    semoga bermanfaat dunia akhirat :)

    wah bagus juga nih, tak coba dulu mas saranya, nanti lihat efek dahulu apakah resourcnya memadai atau tidak :D
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...