Kena jenis serangan Ddos baru kah ini ?

[XXIKU.COM]

Nah, baru kali ini kena serangan yg mencoba brute force ke ke system SMTP lfd: (smtpauth) Failed SMTP AUTH dan lfd: (WPLOGIN) WP Login Attack

Firewall sebelumnya memang dalam kondisi off semingguan karna ada keperluan setting di website dan didedicated server, dan saat login ke server tiba-tiba laporan Bandwith sudah menkonsumsi banyak jumlah bandwidth, untungnya cepat di sadari saat cek status uptime
https://hetrixtools.com/report/uptime/470480a6d48be4131c7833dd2260a312/
dan langsung mengaktifkan firewall kembali dan mendapati banyak list IP. Gak kebayang kalau dibiarkan seharian aja.






Padahal kondisi semua website di proteksi oleh Cloudflare tetap lolos juga ya atau ini serangan memang langsung ke IP Server saya kah ?



Jadi apakah ada recommended cara proteksi di bagian SMTP dan WPLOGIN selain menggandalkan firewall CSF? Karna terkadang lolos juga IP serangannya

 

[cLeo]

coba set fail2ban di smtp port

 

[XXIKU.COM]

Msih blum ampuh om, serangan masih berlangsung . Gonta-ganti IP susah betul filternya.

 

[hostbadak]

Itu grafik networknya memang terbalik kah? Karena menuruf info di grafik itu, traffic outboundnya yang penuh sampai dengan 1Gbps, sementara inboundnya hanya 4Mbps. CMIIW.

 

[IIXPLANET]

kalau brute force semacam itu disemua server sy rasa sama mengalami dan normal menurut saya kl dr hasil lfd reportnya
kynya bukan ddos sih itu , diblock ga akan membuat stop memang karna pakai proxy , kecuali closing port.

di saya 1 server yg masuk blacklist sehari bisa 2000 ip proxy dr hasil filtering dan itu cm dr apache aja cm langsung auto null route sih jd ga lewat csf via iptables atau ipset , blm kl digabung dr bruteforce mail atau sshd banyak banget .

 

[XXIKU.COM]

Itu grafik networknya memang terbalik kah? Karena menuruf info di grafik itu, traffic outboundnya yang penuh sampai dengan 1Gbps, sementara inboundnya hanya 4Mbps. CMIIW.

Memang bgitu om laporan data public network hetrixtools nya dan sama dgn hasil di server gk terbalik.

Tp ntah knp usage bandwidth out nya lebih tinggi dan gk tau penyebabnya.

 

[XXIKU.COM]

kalau brute force semacam itu disemua server sy rasa sama mengalami dan normal menurut saya kl dr hasil lfd reportnya
kynya bukan ddos sih itu , diblock ga akan membuat stop memang karna pakai proxy , kecuali closing port.

di saya 1 server yg masuk blacklist sehari bisa 2000 ip proxy dr hasil filtering dan itu cm dr apache aja cm langsung auto null route sih jd ga lewat csf via iptables atau ipset , blm kl digabung dr bruteforce mail atau sshd banyak banget .

Jadi klw problemnya hampir sama seperti itu apakah ada solusinya om. Soalnya ngeblock jg memang gk ampuh karna banyak ip yg beda-beda terus menerus. Klw sampai close open port rasanya gk mungkin om krna kebutuhan.

Klw mnurut om ini normal jadi apa ini dibiarkan saja ya ?

 

[dhyhost]

Klw mnurut om ini normal jadi apa ini dibiarkan saja ya ?

normal, dibikin rotasi aja IP blok aja, jgn sampai diblok permanen
kalau diblok permanen bakalan bengkak daftar blocknya.

 

[IIXPLANET]

Jadi klw problemnya hampir sama seperti itu apakah ada solusinya om. Soalnya ngeblock jg memang gk ampuh karna banyak ip yg beda-beda terus menerus. Klw sampai close open port rasanya gk mungkin om krna kebutuhan.

Klw mnurut om ini normal jadi apa ini dibiarkan saja ya ?

kl untuk smtp failed login sdh benar sih ky td tinggal dirotasi aja paling .
atau diabaikan jg ga apa apa selama memang passwd mailnya ga mudah di brute force.

kl untuk wp login failure / modsec failure biasanya dia akan makan cpu sm memory kalo lg datang keroyokan buat bruteforce accountnya
jd yg lebih di protect sih mustinya yg ini karna akan banyak proses cpu yg akan membebani webserver nya.

 

[pereceh]

pke layanan pihak ketiga buat masalah email , klo server-nya dipake sendiri bkin aja aturan akses panel admin yg bisa masuk cuma IP sendiri