Keamanan VPS

Discussion in 'VPS (Virtual Private Server)' started by mas.satriyo, 27 Jun 2014.

Thread Status:
Not open for further replies.
  1. mas.satriyo

    mas.satriyo Expert 2.0

    Messages:
    947
    Likes Received:
    137
    Trophy Points:
    43
    beberapa hari yg lalu vps teman saya ketahuan kalo sudah dibobol, entah bagaimana caranya ada yg bisa masuk, yg jelas vps tersebut telah diacak2 dan baru ketahuan waktu dapat warn kalo bandwidthnya habis, padahal itu cuma vps untuk beberapa website statis
    siang tadi saya iseng cek auth.log ( /var/log/auth.log)
    ternyata ada banyak notice seperti ini :
    Code:
    Jun 27 15:44:46 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
    Jun 27 15:44:46 sg sshd[29117]: Failed password for root from 111.74.238.151 port 3032 ssh2
    Jun 27 15:44:48 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
    Jun 27 15:44:49 sg sshd[29117]: Failed password for root from 111.74.238.151 port 3032 ssh2
    Jun 27 15:44:50 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
    Jun 27 15:44:53 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
    
    dan masih banyak lagi, saya hitung setiap menit ada sekitar 5 - 30 notice
    Code:
    Jun 27 00:00:01 sg CRON[14936]: pam_unix(cron:session): session opened for user root by (uid=0)
    Jun 27 00:00:02 sg sshd[14934]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
    Jun 27 00:00:03 sg CRON[14936]: pam_unix(cron:session): session closed for user root
    Jun 27 00:00:04 sg sshd[14934]: Failed password for root from 202.109.143.20 port 1139 ssh2
    Jun 27 00:00:16  sshd[14934]: last message repeated 5 times
    Jun 27 00:00:16 sg sshd[14934]: Disconnecting: Too many authentication failures for root [preauth]
    Jun 27 00:00:16 sg sshd[14934]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
    Jun 27 00:00:16 sg sshd[14934]: PAM service(sshd) ignoring max retries; 6 > 3
    Jun 27 00:00:24 sg sshd[14973]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
    Jun 27 00:00:26 sg sshd[14973]: Failed password for root from 202.109.143.20 port 1688 ssh2
    Jun 27 00:00:37  sshd[14973]: last message repeated 5 times
    Jun 27 00:00:37 sg sshd[14973]: Disconnecting: Too many authentication failures for root [preauth]
    Jun 27 00:00:37 sg sshd[14973]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
    Jun 27 00:00:37 sg sshd[14973]: PAM service(sshd) ignoring max retries; 6 > 3
    Jun 27 00:00:41 sg sshd[14975]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
    Jun 27 00:00:43 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
    Jun 27 00:00:49  sshd[14975]: last message repeated 2 times
    Jun 27 00:00:49 sg sshd[14977]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.224.211  user=root
    Jun 27 00:00:49 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
    Jun 27 00:00:50 sg sshd[14977]: Failed password for root from 117.21.224.211 port 1880 ssh2
    Jun 27 00:00:51 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
    Jun 27 00:00:52 sg sshd[14977]: Failed password for root from 117.21.224.211 port 1880 ssh2
    Jun 27 00:00:53 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
    Jun 27 00:00:53 sg sshd[14975]: Disconnecting: Too many authentication failures for root [preauth]
    Jun 27 00:00:53 sg sshd[14975]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
    Jun 27 00:00:53 sg sshd[14975]: PAM service(sshd) ignoring max retries; 6 > 3
    Jun 27 00:00:54 sg sshd[14977]: Failed password for root from 117.21.224.211 port 1880 ssh2
    Jun 27 00:00:59  sshd[14977]: last message repeated 2 times
    Jun 27 00:00:59 sg sshd[14977]: Disconnecting: Too many authentication failures for root [preauth]
    Jun 27 00:00:59 sg sshd[14977]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.224.211  user=root
    
    setelah saya telusuri di
    Code:
    tcpiputils.com
    ternyata kebanyakan berasal dari China dan Korea Selatan
    selama ini untuk proteksi akses, saya mengandalkan fail2ban, ufw, dan iptables disamping men-disable login root dan mengganti port login via ssh

    yg ingin saya tanyakan,
    seberapa bahayakah serangan itu?
    bagaimana antisipasinya?

    vps saya ini cuma digunakan untuk web personal, hanya website berbasis wordpress dan ghost saja
    untuk dns, saya terbiasa menggunakan cloudflare

    trims atas jawabannya
     
    anggota baru likes this.
  2. ceo.ahlul

    ceo.ahlul Expert 1.0 Web Hosting (Company)

    Messages:
    622
    Likes Received:
    255
    Trophy Points:
    63
    Di internet itu banyak BOT mas, kerjaannya scan IP2 dengan range tertentu :) mungkin hampir semua server pernah kena BOT yang mencoba login.

    Jadi mungkin ini bukan serangan, namun mungkin untuk lebih meningkatkan keamanan port SSH nya di ganti ke port tertentu (bukan default 22).
     
  3. mas.satriyo

    mas.satriyo Expert 2.0

    Messages:
    947
    Likes Received:
    137
    Trophy Points:
    43
    udah mas
    port login emang selalu saya geser tiap kali deploy server
    berarti selebihnya bisa diabaikan saja ya?
     
  4. ceo.ahlul

    ceo.ahlul Expert 1.0 Web Hosting (Company)

    Messages:
    622
    Likes Received:
    255
    Trophy Points:
    63
    He2 ya di cek2 saja dengan rutin. Tapi yang pasti kalau ada coba2 login berulang kali dan dari Ip luar negeri kebanyakan bot.
     
  5. mas.satriyo

    mas.satriyo Expert 2.0

    Messages:
    947
    Likes Received:
    137
    Trophy Points:
    43
    pas lg rame2 kasus heartbleed, saya rajin cek log
    sehari bisa 2 - 3 kali mas

    trims atas sarannya mas
     
  6. valent

    valent Apprentice 1.0

    Messages:
    216
    Likes Received:
    37
    Trophy Points:
    28
    threadnya mungkin udah sedikit lama, tp cmn mau nambahin aja
    geser port ssh saja ga terlalu efektif dari lognya juga kelihat walau dipindah tetep aja kan banyak notice "Failed password for root from xxx.xxx.xxx.xxx"?
    lebih efektif kalau:
    1. di set ip tertentu saja yang bisa login ke ssh melalui iptables kl koneksi internet yg digunakan buat mengelola vps berupa static ip.
    atau paling tidak range ip yang dapat login dipersempit kalau pengelolaan vps dilakukan menggunakan ip dinamis.
    2. buat root password yang lebih kuat dengan kombinasi angka huruf dan karakter lainnya misal <>?/%$@*()+ atau lebih efektif lagi kalau pakai private key.

    pernah baca juga di beberapa forum dan blog kalau menggeser port ssh kurang efektif/nggak terlalu berguna, apalagi menggunakan port diatas 1024 sebab tetap mudah ditemukan menggunakan tools scanning.
     
  7. junior riau

    junior riau Hosting Guru Web Hosting

    Messages:
    3,227
    Likes Received:
    514
    Trophy Points:
    113
    saran, juga nih
    untuk remote ssh jangan gunakan authentication mode, tapi gunakan Public Key authentication,
    terus, disable root login, dan jangan kasih root untuk login dari mana pun
    lah terus piyee biar jadi root?:106::106::106:
    :39::39: heem nah itu dia masalahnya :71:
    kita buat 1 user baru yang bisa dan hanya bisa login dengan public key itu dan bisa mengakses su priviliges jadi si user bisa berubaaah jadi root
    kayak power ranger donk :71:
     
  8. mas.satriyo

    mas.satriyo Expert 2.0

    Messages:
    947
    Likes Received:
    137
    Trophy Points:
    43
    biarpun lama, tapi masih terbuka untuk saran2 yg membangun kok ;)
    1. kalo untuk static ip sampai hari ini masih tidak bisa mas, soalnya saya terbiasa nyambung ke server pake wifi kosan (telkomspeedy IP dinamis), wifi kampus (ip public tergantung lokasi router), atau modem GSM
    mau sewa vpn juga masih pikir2 karena ini cuma untuk web pribadi aja. Kalo modal terlalu tinggi rasanya kurang efisien.
    2. sudah, password selalu saya pake kombinasi, lowercase-uppercase-number-symbol

    1. sedang diusahakan mas, kebiasaan pake password susah hilang ini :(
    kalo login dengan PKA dari multiple device berarti tinggal copy key-nya aja ya mas?
    soalnya saya suka login dari PC, laptop, atau tablet tergantung mobilitas dan kondisi tempat kegiatan

    2. sudah mas, root login sudah di-disable
    setelah login baru panggil perintah
    Code:
    sudo su
    =========================================================================================================================

    sejauh ini saya akali dengan ufw
    default settingnya adalah 'deny' untuk random port, akses cuma saya buka untuk beberapa port yg memang kepake
    sejauh ini yang saya amati, sudah tidak ada lagi entry
    Code:
    Failed password for root from xxx.xxx.xxx.xxx port yyyy ssh2
    trims atas saran dari rekan2 praktisi dwh
     
  9. junior riau

    junior riau Hosting Guru Web Hosting

    Messages:
    3,227
    Likes Received:
    514
    Trophy Points:
    113
    wah agak susah ya loginnya multiple device soalnya beda2 tipe penggunaan key klau devicenya beda
    kayak via ssh terminal linux dan puty rada beda

    udah coba port knocking belum?
    soalnya itu pake ubuntu, persis banget itu harusna simple dan mudah konfignya
    skripsi saya ini, pengamanan remote login di ubuntu dengan port knocking
     
  10. valent

    valent Apprentice 1.0

    Messages:
    216
    Likes Received:
    37
    Trophy Points:
    28
    elama ini saya manage beberapa vps dan ds dari kenalan saya, biasanya saya selalu tanya soal koneksi internet yang dipakainya, dan rata-rata kebanyakan pakai ip dinamis.
    oleh karena itu biasanya saya persempit range ip untuk login ke ssh dari iptables dengan melihat pola ip yang sering digunakan client tsb dari lognya.
    kendalanya memang kalau client tersebut terlalu sering berganti isp/jenis koneksinya, krn ada isp tertentu yg memang ipnya bener-bener ngacak jd terlalu lebar rangenya.

    kalau sudah jarang ditemui entry "Failed password for root from xxx.xxx.xxx.xxx port yyyy ssh2", usaha pengamanan sudah cukup efisien
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...