Tangkal Brute Force SSH dengan script sederhana


Status
Not open for further replies.

PusatHosting

Hosting Guru
Hi berikut script sederhana untuk tangkal brute force ssh, sistemnya menghitung invalid login dan otomatis ip di blacklist dan dimasukan kedalam hosts.deny

#!/bin/bash
#This script will monitor for failed login attempts and after a specified number of times add the ip to a deny list
#Chad
LOGFILE=”/var/log/secure”
HOSTSDENY=”/etc/hosts.deny”
BADCOUNT=”5″
# read logfile and look for invalid login attemps
grep sshd $LOGFILE |grep “Invalid user”| awk ‘{print $NF}’|sort|uniq -c|sort -n|sed “s/[[:space:]]*//” | while
read i
do
# read number of failed attempts
count=`echo $i | cut -d” ” -f1`
# read ip address from failed attempt
ip=`echo $i | cut -d” ” -f2`
#check hostdeny file to see if IP already exist
already=`grep $ip $HOSTSDENY | grep sshd`
#if IP does not exist add it to hostdeny file
if [ -z "$already" ]
then
if [ "$count" -ge "$BADCOUNT" ]
then
echo “sshd: “$ip >> $HOSTSDENY
fi
fi
done

jalankan script tsb di cron, jika ingin yang komplit bisa juga pakai APF dan BFD

script didapat dari berbagai sumber, maaf sekedar ngarsip di dwh saja. :D
 

tajidyakub

Apprentice 1.0
Sederhana, dan sangat mungkin berguna.
Cuma yang saya masih ragu, meskipun masuk ke host.deny apakah socket sudah terlanjur terbuka atau belum, kalau sudah terlanjur terbuka maka masih bisa menyebabkan server too busy untuk melayani port 22.
Thanks pak.
 

rendy

Hosting Guru
Verified Provider
Sederhana, dan sangat mungkin berguna.
Cuma yang saya masih ragu, meskipun masuk ke host.deny apakah socket sudah terlanjur terbuka atau belum, kalau sudah terlanjur terbuka maka masih bisa menyebabkan server too busy untuk melayani port 22.
Thanks pak.

oleh karena itu disarankan oleh csf memindahkan port standard ssh ke port lain
 

PusatHosting

Hosting Guru
Sederhana, dan sangat mungkin berguna.
Cuma yang saya masih ragu, meskipun masuk ke host.deny apakah socket sudah terlanjur terbuka atau belum, kalau sudah terlanjur terbuka maka masih bisa menyebabkan server too busy untuk melayani port 22.
Thanks pak.

betul pak terbuka terus jadi masih ada kesempatan mereka2 untuk brutef 5-10 kali meskipun limitnya hanya 1 menit cron dan terdetek baru di ban. Kalau akses ssh hanya khusus untuk kita saya ambil cara blok semua IP kecuali ip saya menggunakan Apf.


oleh karena itu disarankan oleh csf memindahkan port standard ssh ke port lain

saya baca-baca katanya mereka masih bisa melakukan scanning jadi mungkin hanya delay beberapa waktu sampai ketemu portnya.
 
Status
Not open for further replies.

Top