[ask] ttg portscanning


Status
Not open for further replies.

am3n

Apprentice 1.0
Dear Rekans Webhosters,

saya sering terima email spt ini, yang bilang ada yang melakukan portscan ke server. dengan IP source dan port tujuan yang selalu berbeda2x. awalnya email ttg portscan ini hanya sedikit shg saya ignore saja. tapi saat ini sehari bisa ada 100 email. dan IP-IP tsb lsg di blok secara temporer.

apakah ini artinya server di ddos ?? jika bukan di ddos, bagaimana caranya mengurangi efek port scan ini? saya sudah setup di CSF jika melakukan portscan lebih dari 5 (default 10) di blok temporer (3jam), dan jika sudah di blok temporer lebih dari 2 kali maka akan di blok permanen (3 hari). tapi tetap saja yang melakukan portscan masih banyak dgn IP source yang berbeda-2x

mohon bantuan, saran dan petunjuk nya . terima kasih sebelumnya.

Code:
From:  <root@id3.XXXwebhoster.com>
Date: Wed, Apr 14, 2010 at 12:24 AM
Subject: lfd on id3.XXXwebhoster.com: 94.66.49.36 (GR/Greece/ppp-94-66-49-36.home.otenet.gr) blocked for port scanning
To: root@id3.XXXwebhoster.com


Time:    Wed Apr 14 00:24:58 2010 +0700
IP:      94.66.49.36 (GR/Greece/ppp-94-66-49-36.home.otenet.gr)
Hits:    6
Blocked: Temporary Block

Sample of block hits:
Apr 14 00:20:11 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24245 PROTO=UDP SPT=36516 DPT=5005 LEN=41
Apr 14 00:20:12 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24278 PROTO=UDP SPT=36516 DPT=5005 LEN=41
Apr 14 00:20:15 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24320 PROTO=UDP SPT=36516 DPT=5005 LEN=41
Apr 14 00:20:24 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=24416 PROTO=UDP SPT=36516 DPT=5005 LEN=41
Apr 14 00:24:52 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=43031 PROTO=UDP SPT=36516 DPT=5005 LEN=41
Apr 14 00:24:53 id3 kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=aa:00:94:c5:68:01:00:1c:f0:d1:a2:a2:08:00 SRC=94.66.49.36 DST=XXX.XXX.XXX.XXX LEN=61 TOS=0x00 PREC=0x00 TTL=108 ID=43075 PROTO=UDP SPT=36516 DPT=5005 LEN=41
 

nicosoftmedia

(RIP) Community Guide
Solusinya coba di aktifkan PS_DELETED nya dari 0 menjadi 1. Maka setiap ada kegiatan port scan akan di terminated langsung.

Hits: 6
Blocked: Temporary Block
Sebenarnya dari keterangan diatas tidak perlu dikhawatirkan.
 

maseko

Apprentice 1.0
udah biasa kok mas kayaknya, saya ampe nyediain satu mail sendiri buat naruh log server kek gini :)..kadang settingan synflood yang kurang pas juga dapat menyebabkan user dengan koneksi lemot bsa dianggap lfd sebagai port scanning.
 

am3n

Apprentice 1.0
maseko, bisa dikasih tau settingan synflood yang pas, bagaimana?
lalu bagaimana caranya agar email ttg portscan ini diarahkan ke alamat email yang berbeda, karena csf/lfd pasti akan kirim email ke user root
 

DapurHosting

Apprentice 1.0
abaikan saja, kalau ada waktu coba kamu keluhkan saja ke ISP yang IP nya digunakan untuk melakukan scan port.
 

am3n

Apprentice 1.0
terima kasih atas masukannya. 3 hoster sudah menjawab abaikan, oleh karena itu akan saya abaikan :D
lebih baik saya akan set agar notifikasi ttg portscan ini tidak perlu di email (toh lagi pula tidak akan dibaca)

case close, please lock, thanks all
 
Status
Not open for further replies.

Top