[HELP] Cara Mengatasi Masalah SSH Bruteforce Attack

[Redzcaviar]

Selamat pagi mastah.
saya ada masalah ni dengan VPS Debian saya. katanya ada masalah SSH bruteforce attack. saya juga kurang ngerti maksud nya apa & cara mengatasi nya gmna ?
mungkin mastah2 bisa bantu resolved problem ini.
ini sedikit notice dari DC :

We received another complaint again, your VPS has been suspended and will not be allowed to continue. You obviously have no intention to fix the problem.

Logfile excerpt (date/times are UTC):
Aug 16 03:56:04 nihp05 sshd[3872]: Invalid user admin from 11x.2xx.xxx.xx6
Aug 16 03:56:07 nihp05 sshd[3872]: Failed password for invalid user admin from 11x.2xx.xxx.xx6 port 55582 ssh2
Aug 16 03:56:07 nihp05 sshd[3872]: Received disconnect from 11x.2xx.xxx.xx6: 11: Bye Bye [preauth]
Aug 16 03:56:09 nihp05 sshd[3874]: Invalid user admin from 11x.2xx.xxx.xx6
Aug 16 03:56:11 nihp05 sshd[3874]: Failed password for invalid user admin from 11x.2xx.xxx.xx6 port 56372 ssh2
Aug 16 03:56:11 nihp05 sshd[3874]: Received disconnect from 11x.2xx.xxx.xx6: 11: Bye Bye [preauth]

 

[perdhanahost]

Kalau password mas cukup sulit ditebak, mas boleh merasa aman untuk sementara. Misalnya password mas adalah seperti berikut ini:

H9UT3G76tePcKuAYHjjtSef77x8Mw8fvDuHhts55Maj6DCVe3w05S8nDNA7gF87zcf2Qi56jzSwaK1No44AicWtrciKWYyfC

Butuh waktu cukup lama untuk menebak passwordnya.

Mas bisa juga pasang CSF yang akan blokir IP yang gagal login 5 kali berturut2 dalam 1 jam.

Selain itu, yang paling ampuh tapi sedikit merepotkan adalah menggunakan public key, baik menggunakan passphrase maupun passphrase-less public key.

Semoga membantu.

 

[galuh82]

pertimbangkan juga penggunaan non default port sshnya .. CMIIW

 

[andhi]

ganti port default ssh nya, trus jgn ijinkan user root untuk login ssh, klo mau pake root pake perintah SU saja

 

[jaapns]

kok tebakan saya kayaknya di pake SSH Tunneling ya usernya banyak ......

 

[hostmyid]

buka file /etc/ssh/sshd_config

Ganti port menjadi non-default, Port 9999
SSH hanya bisa diakses melalui ip server tertentu, ListenAddress IPSERVER
Pastikan root tidak bisa login, PermitRootLogin no

Gunakan CSF

 

[drupadi]

pake private key setiap usernya.
Disable password authentication.

 

[arieonline]

bentar2.
itu ada notice dari DC soal komplain yg lainnya
bearti server nya TS menyerang/bruteforce server lain.

kemungkinan:
1. vps terinfeksi bot yg kerjanya bruteforce vps lain
2. klo dibuat jualan ssh-tunnel, tampaknya ada client yg iseng biar server anda di suspend

 

[Redzcaviar]

Kalau password mas cukup sulit ditebak, mas boleh merasa aman untuk sementara. Misalnya password mas adalah seperti berikut ini:

H9UT3G76tePcKuAYHjjtSef77x8Mw8fvDuHhts55Maj6DCVe3w05S8nDNA7gF87zcf2Qi56jzSwaK1No44AicWtrciKWYyfC

Butuh waktu cukup lama untuk menebak passwordnya.

Mas bisa juga pasang CSF yang akan blokir IP yang gagal login 5 kali berturut2 dalam 1 jam.

Selain itu, yang paling ampuh tapi sedikit merepotkan adalah menggunakan public key, baik menggunakan passphrase maupun passphrase-less public key.

Semoga membantu.

ok, nnti saya coba.

pertimbangkan juga penggunaan non default port sshnya .. CMIIW

maksdnya ?

ganti port default ssh nya, trus jgn ijinkan user root untuk login ssh, klo mau pake root pake perintah SU saja

SU apaan mastah ?

kok tebakan saya kayaknya di pake SSH Tunneling ya usernya banyak ......

gk terlalu banyak sih. normal2.

buka file /etc/ssh/sshd_config

Ganti port menjadi non-default, Port 9999
SSH hanya bisa diakses melalui ip server tertentu, ListenAddress IPSERVER
Pastikan root tidak bisa login, PermitRootLogin no

Gunakan CSF

kan Port Default nya 22 jadi di ubah ke 9999 gitu ?
CSF apaan mastah ?

pake private key setiap usernya.
Disable password authentication.

ok, nnti sya coba.

bentar2.
itu ada notice dari DC soal komplain yg lainnya
bearti server nya TS menyerang/bruteforce server lain.

kemungkinan:
1. vps terinfeksi bot yg kerjanya bruteforce vps lain
2. klo dibuat jualan ssh-tunnel, tampaknya ada client yg iseng biar server anda di suspend

iya, perkiraan saya ada user SSH yg iseng.