Keamanan VPS


Status
Not open for further replies.

mas.satriyo

Hosting Guru
beberapa hari yg lalu vps teman saya ketahuan kalo sudah dibobol, entah bagaimana caranya ada yg bisa masuk, yg jelas vps tersebut telah diacak2 dan baru ketahuan waktu dapat warn kalo bandwidthnya habis, padahal itu cuma vps untuk beberapa website statis
siang tadi saya iseng cek auth.log ( /var/log/auth.log)
ternyata ada banyak notice seperti ini :
Code:
Jun 27 15:44:46 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
Jun 27 15:44:46 sg sshd[29117]: Failed password for root from 111.74.238.151 port 3032 ssh2
Jun 27 15:44:48 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
Jun 27 15:44:49 sg sshd[29117]: Failed password for root from 111.74.238.151 port 3032 ssh2
Jun 27 15:44:50 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
Jun 27 15:44:53 sg sshd[29119]: Failed password for root from 117.21.225.116 port 2003 ssh2
dan masih banyak lagi, saya hitung setiap menit ada sekitar 5 - 30 notice
Code:
Jun 27 00:00:01 sg CRON[14936]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun 27 00:00:02 sg sshd[14934]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
Jun 27 00:00:03 sg CRON[14936]: pam_unix(cron:session): session closed for user root
Jun 27 00:00:04 sg sshd[14934]: Failed password for root from 202.109.143.20 port 1139 ssh2
Jun 27 00:00:16  sshd[14934]: last message repeated 5 times
Jun 27 00:00:16 sg sshd[14934]: Disconnecting: Too many authentication failures for root [preauth]
Jun 27 00:00:16 sg sshd[14934]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
Jun 27 00:00:16 sg sshd[14934]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 27 00:00:24 sg sshd[14973]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
Jun 27 00:00:26 sg sshd[14973]: Failed password for root from 202.109.143.20 port 1688 ssh2
Jun 27 00:00:37  sshd[14973]: last message repeated 5 times
Jun 27 00:00:37 sg sshd[14973]: Disconnecting: Too many authentication failures for root [preauth]
Jun 27 00:00:37 sg sshd[14973]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
Jun 27 00:00:37 sg sshd[14973]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 27 00:00:41 sg sshd[14975]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
Jun 27 00:00:43 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
Jun 27 00:00:49  sshd[14975]: last message repeated 2 times
Jun 27 00:00:49 sg sshd[14977]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.224.211  user=root
Jun 27 00:00:49 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
Jun 27 00:00:50 sg sshd[14977]: Failed password for root from 117.21.224.211 port 1880 ssh2
Jun 27 00:00:51 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
Jun 27 00:00:52 sg sshd[14977]: Failed password for root from 117.21.224.211 port 1880 ssh2
Jun 27 00:00:53 sg sshd[14975]: Failed password for root from 202.109.143.20 port 3685 ssh2
Jun 27 00:00:53 sg sshd[14975]: Disconnecting: Too many authentication failures for root [preauth]
Jun 27 00:00:53 sg sshd[14975]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.109.143.20  user=root
Jun 27 00:00:53 sg sshd[14975]: PAM service(sshd) ignoring max retries; 6 > 3
Jun 27 00:00:54 sg sshd[14977]: Failed password for root from 117.21.224.211 port 1880 ssh2
Jun 27 00:00:59  sshd[14977]: last message repeated 2 times
Jun 27 00:00:59 sg sshd[14977]: Disconnecting: Too many authentication failures for root [preauth]
Jun 27 00:00:59 sg sshd[14977]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=117.21.224.211  user=root
setelah saya telusuri di
Code:
tcpiputils.com
ternyata kebanyakan berasal dari China dan Korea Selatan
selama ini untuk proteksi akses, saya mengandalkan fail2ban, ufw, dan iptables disamping men-disable login root dan mengganti port login via ssh

yg ingin saya tanyakan,
seberapa bahayakah serangan itu?
bagaimana antisipasinya?

vps saya ini cuma digunakan untuk web personal, hanya website berbasis wordpress dan ghost saja
untuk dns, saya terbiasa menggunakan cloudflare

trims atas jawabannya
 

ceo.ahlul

Expert 1.0
Di internet itu banyak BOT mas, kerjaannya scan IP2 dengan range tertentu :) mungkin hampir semua server pernah kena BOT yang mencoba login.

Jadi mungkin ini bukan serangan, namun mungkin untuk lebih meningkatkan keamanan port SSH nya di ganti ke port tertentu (bukan default 22).
 

mas.satriyo

Hosting Guru
Di internet itu banyak BOT mas, kerjaannya scan IP2 dengan range tertentu :) mungkin hampir semua server pernah kena BOT yang mencoba login.

Jadi mungkin ini bukan serangan, namun mungkin untuk lebih meningkatkan keamanan port SSH nya di ganti ke port tertentu (bukan default 22).
udah mas
port login emang selalu saya geser tiap kali deploy server
berarti selebihnya bisa diabaikan saja ya?
 

valent

Apprentice 1.0
threadnya mungkin udah sedikit lama, tp cmn mau nambahin aja
geser port ssh saja ga terlalu efektif dari lognya juga kelihat walau dipindah tetep aja kan banyak notice "Failed password for root from xxx.xxx.xxx.xxx"?
lebih efektif kalau:
1. di set ip tertentu saja yang bisa login ke ssh melalui iptables kl koneksi internet yg digunakan buat mengelola vps berupa static ip.
atau paling tidak range ip yang dapat login dipersempit kalau pengelolaan vps dilakukan menggunakan ip dinamis.
2. buat root password yang lebih kuat dengan kombinasi angka huruf dan karakter lainnya misal <>?/%$@*()+ atau lebih efektif lagi kalau pakai private key.

pernah baca juga di beberapa forum dan blog kalau menggeser port ssh kurang efektif/nggak terlalu berguna, apalagi menggunakan port diatas 1024 sebab tetap mudah ditemukan menggunakan tools scanning.
 

junior riau

Hosting Guru
Verified Provider
saran, juga nih
untuk remote ssh jangan gunakan authentication mode, tapi gunakan Public Key authentication,
terus, disable root login, dan jangan kasih root untuk login dari mana pun
lah terus piyee biar jadi root?:106::106::106:
:39::39: heem nah itu dia masalahnya :71:
kita buat 1 user baru yang bisa dan hanya bisa login dengan public key itu dan bisa mengakses su priviliges jadi si user bisa berubaaah jadi root
kayak power ranger donk :71:
 

mas.satriyo

Hosting Guru
threadnya mungkin udah sedikit lama, tp cmn mau nambahin aja
geser port ssh saja ga terlalu efektif dari lognya juga kelihat walau dipindah tetep aja kan banyak notice "Failed password for root from xxx.xxx.xxx.xxx"?
lebih efektif kalau:
1. di set ip tertentu saja yang bisa login ke ssh melalui iptables kl koneksi internet yg digunakan buat mengelola vps berupa static ip.
atau paling tidak range ip yang dapat login dipersempit kalau pengelolaan vps dilakukan menggunakan ip dinamis.
2. buat root password yang lebih kuat dengan kombinasi angka huruf dan karakter lainnya misal <>?/%$@*()+ atau lebih efektif lagi kalau pakai private key.

pernah baca juga di beberapa forum dan blog kalau menggeser port ssh kurang efektif/nggak terlalu berguna, apalagi menggunakan port diatas 1024 sebab tetap mudah ditemukan menggunakan tools scanning.
biarpun lama, tapi masih terbuka untuk saran2 yg membangun kok ;)
1. kalo untuk static ip sampai hari ini masih tidak bisa mas, soalnya saya terbiasa nyambung ke server pake wifi kosan (telkomspeedy IP dinamis), wifi kampus (ip public tergantung lokasi router), atau modem GSM
mau sewa vpn juga masih pikir2 karena ini cuma untuk web pribadi aja. Kalo modal terlalu tinggi rasanya kurang efisien.
2. sudah, password selalu saya pake kombinasi, lowercase-uppercase-number-symbol

saran, juga nih
untuk remote ssh jangan gunakan authentication mode, tapi gunakan Public Key authentication,
terus, disable root login, dan jangan kasih root untuk login dari mana pun
lah terus piyee biar jadi root?:106::106::106:
:39::39: heem nah itu dia masalahnya :71:
kita buat 1 user baru yang bisa dan hanya bisa login dengan public key itu dan bisa mengakses su priviliges jadi si user bisa berubaaah jadi root
kayak power ranger donk :71:

1. sedang diusahakan mas, kebiasaan pake password susah hilang ini :(
kalo login dengan PKA dari multiple device berarti tinggal copy key-nya aja ya mas?
soalnya saya suka login dari PC, laptop, atau tablet tergantung mobilitas dan kondisi tempat kegiatan

2. sudah mas, root login sudah di-disable
setelah login baru panggil perintah
Code:
sudo su

=========================================================================================================================

sejauh ini saya akali dengan ufw
default settingnya adalah 'deny' untuk random port, akses cuma saya buka untuk beberapa port yg memang kepake
sejauh ini yang saya amati, sudah tidak ada lagi entry
Code:
Failed password for root from xxx.xxx.xxx.xxx port yyyy ssh2
trims atas saran dari rekan2 praktisi dwh
 

junior riau

Hosting Guru
Verified Provider
wah agak susah ya loginnya multiple device soalnya beda2 tipe penggunaan key klau devicenya beda
kayak via ssh terminal linux dan puty rada beda

udah coba port knocking belum?
soalnya itu pake ubuntu, persis banget itu harusna simple dan mudah konfignya
skripsi saya ini, pengamanan remote login di ubuntu dengan port knocking
 

valent

Apprentice 1.0
biarpun lama, tapi masih terbuka untuk saran2 yg membangun kok ;)
1. kalo untuk static ip sampai hari ini masih tidak bisa mas, soalnya saya terbiasa nyambung ke server pake wifi kosan (telkomspeedy IP dinamis), wifi kampus (ip public tergantung lokasi router), atau modem GSM
mau sewa vpn juga masih pikir2 karena ini cuma untuk web pribadi aja. Kalo modal terlalu tinggi rasanya kurang efisien.
2. sudah, password selalu saya pake kombinasi, lowercase-uppercase-number-symbol

elama ini saya manage beberapa vps dan ds dari kenalan saya, biasanya saya selalu tanya soal koneksi internet yang dipakainya, dan rata-rata kebanyakan pakai ip dinamis.
oleh karena itu biasanya saya persempit range ip untuk login ke ssh dari iptables dengan melihat pola ip yang sering digunakan client tsb dari lognya.
kendalanya memang kalau client tersebut terlalu sering berganti isp/jenis koneksinya, krn ada isp tertentu yg memang ipnya bener-bener ngacak jd terlalu lebar rangenya.

kalau sudah jarang ditemui entry "Failed password for root from xxx.xxx.xxx.xxx port yyyy ssh2", usaha pengamanan sudah cukup efisien
 
Status
Not open for further replies.

Top