HELP- Cek user yang melakukan bruteforce


Status
Not open for further replies.
Rockman

Rockman

Hosting Guru
Verified Provider
PusatHosting said:
Saya menggunakan cara ke-2 menyamakan waktu terjadinya serangan via httpry dengan log.

Caranya.
1. Log nya di sentralkan pakai cara apa saja boleh. Kalau saya menggunakan varnish bisa mengaktifkan varnishnsca dan melihat log request http semua domain di varnishnsca.log
2. Jalankan httpry

ketika terjadi request POST dari httpry kemudian lihat log varnishnsca.log di waktu yang sama nah dari situ saya menemukan website yang melakukan serangan keluar.

Saya belum sempat pelajari scriptnya tapi kurang lebih ini script yang saya dapatkan http://pastebin.com/yCU0ggSe
Click to expand...
Tambahan pertanyaan:
Kalau yang belum punya server sendiri atau masih sebatas reseller (tanpa akses root), bagaimana cara ceknya ?? apa harus kontak upline nya atau Adakah cara lain supaya tidak kontak upline ??
BTW.., bagaimana cara kerja dan pasang script tersebut beserta fungsinya ??
Thanks...
 
Last edited:
PusatHosting

PusatHosting

Hosting Guru
UNMETERED said:
Tambahan pertanyaan:
Kalau yang belum punya server sendiri atau masih sebatas reseller (tanpa akses root), bagaimana cara ceknya ?? apa harus kontak upline nya atau Adakah cara lain supaya tidak kontak upline ??
BTW.., bagaimana cara kerja dan pasang script tersebut beserta fungsinya ??
Thanks...
Click to expand...

Ya harus hubungi uplinenya.
Cara kerja, cara pasang, fungsi bisa dibaca dari depan
 
rajamitra

rajamitra

Apprentice 1.0
Verified Provider
PusatHosting said:
Kalau pakai centos/rhel begini caranya

Standar perintah
Code: 
httpry -i eth0

kalau mau memfilter mencari traffic keluar yaitu POST gunakan perintah ini
Code: 
httpry -i eth0 | grep POST

Kemudian lihat terus ip address yang diakses keluar yaitu pada kolom-1 ip address pengakses dan pada kolomg ke-2 ip address tujuan.

Contoh
Code: 
2016-07-14 21:55:24  36.79.5.222  23.92.xxx.xxx  >  POST  xxxx.com  /task.php  HTTP/1.1  - -
2016-07-14 21:55:24  23.92.xxx.xxx  148.163.65.38  >  POST  sitesassure.com /wp_scanner/scan.php  HTTP/1.0  -  -
2016-07-14 21:55:25  36.79.5.222  23.92.xxx.xxx  >  POST  xxx.com  /bank.php  HTTP/1.1  --
2016-07-14 21:55:25  178.137.19.48  23.92.xxx.xxx  >  POST  xxxpublik.com  http://xxxxpublik.com/wp-login.php  HTTP/1.1  -  -
2016-07-14 21:55:26  114.125.83.3  23.92.xxx.xxx  >  POST  xxxbp.com  /ds_useronline.php HTTP/1.1  --

Jika pada kolom ke-1 adalah ip address server maka itu artinya server melakukan akses keluar.

Cara Penyelesaian

1. Cara mudah - tinggal blokir ip address situs tujuan melalui firewall / CSF maka secara otomatis server sudah tidak bisa mengakses keluar ke website tersebut

2. Cara Susah - mencari sumber script penyebab yang melakukan request keluar.
Ketika ada request keluar pasti ada request kedalam server maka waktu itu saya cari ip address satu per satu baris log pada waktu akses yang bersamaan sesuai waktu POST hasil dari httpry.

dan ketemu sumbernya.

Selamat mencoba.
Click to expand...
Wah ilmu baru nih dari Mas PH.

UNMETERED said:
Tambahan pertanyaan:
Kalau yang belum punya server sendiri atau masih sebatas reseller (tanpa akses root), bagaimana cara ceknya ?? apa harus kontak upline nya atau Adakah cara lain supaya tidak kontak upline ??
BTW.., bagaimana cara kerja dan pasang script tersebut beserta fungsinya ??
Thanks...
Click to expand...
Kalau reseller harus kontek upline nya tuan.
 
Status
Not open for further replies.

Top