Tangkal Brute Force SSH dengan script sederhana


Status
Not open for further replies.
PusatHosting

PusatHosting

Hosting Guru
Hi berikut script sederhana untuk tangkal brute force ssh, sistemnya menghitung invalid login dan otomatis ip di blacklist dan dimasukan kedalam hosts.deny

#!/bin/bash
#This script will monitor for failed login attempts and after a specified number of times add the ip to a deny list
#Chad
LOGFILE=”/var/log/secure”
HOSTSDENY=”/etc/hosts.deny”
BADCOUNT=”5″
# read logfile and look for invalid login attemps
grep sshd $LOGFILE |grep “Invalid user”| awk ‘{print $NF}’|sort|uniq -c|sort -n|sed “s/[[:space:]]*//” | while
read i
do
# read number of failed attempts
count=`echo $i | cut -d” ” -f1`
# read ip address from failed attempt
ip=`echo $i | cut -d” ” -f2`
#check hostdeny file to see if IP already exist
already=`grep $ip $HOSTSDENY | grep sshd`
#if IP does not exist add it to hostdeny file
if [ -z "$already" ]
then
if [ "$count" -ge "$BADCOUNT" ]
then
echo “sshd: “$ip >> $HOSTSDENY
fi
fi
done
Click to expand...

jalankan script tsb di cron, jika ingin yang komplit bisa juga pakai APF dan BFD

script didapat dari berbagai sumber, maaf sekedar ngarsip di dwh saja. :D
 
Sederhana, dan sangat mungkin berguna.
Cuma yang saya masih ragu, meskipun masuk ke host.deny apakah socket sudah terlanjur terbuka atau belum, kalau sudah terlanjur terbuka maka masih bisa menyebabkan server too busy untuk melayani port 22.
Thanks pak.
 
tajidyakub said:
Sederhana, dan sangat mungkin berguna.
Cuma yang saya masih ragu, meskipun masuk ke host.deny apakah socket sudah terlanjur terbuka atau belum, kalau sudah terlanjur terbuka maka masih bisa menyebabkan server too busy untuk melayani port 22.
Thanks pak.
Click to expand...

oleh karena itu disarankan oleh csf memindahkan port standard ssh ke port lain
 
tajidyakub said:
Sederhana, dan sangat mungkin berguna.
Cuma yang saya masih ragu, meskipun masuk ke host.deny apakah socket sudah terlanjur terbuka atau belum, kalau sudah terlanjur terbuka maka masih bisa menyebabkan server too busy untuk melayani port 22.
Thanks pak.
Click to expand...

betul pak terbuka terus jadi masih ada kesempatan mereka2 untuk brutef 5-10 kali meskipun limitnya hanya 1 menit cron dan terdetek baru di ban. Kalau akses ssh hanya khusus untuk kita saya ambil cara blok semua IP kecuali ip saya menggunakan Apf.


rendy said:
oleh karena itu disarankan oleh csf memindahkan port standard ssh ke port lain
Click to expand...

saya baca-baca katanya mereka masih bisa melakukan scanning jadi mungkin hanya delay beberapa waktu sampai ketemu portnya.
 
Status
Not open for further replies.
Back
Top