Sebelumnya, sepertinya serangan ini diakibatkan oleh DDoS, sehingga melibatkan banyak IP penyerang. Dan modelnya brute attack, penyerang me-scan ip2 mana yang apachenya open proxy. Tapi cukup aneh penyerangnya, walaupun setting apache kita tidak allow open proxy, attemp tetap dilakukan berulang kali dari IP yang sama.
Nah, akibat dari brute attack ini, packet yang isinya HTTP CONNECT mau diblok sekalipun kalau di-blok nya di network kita ya sudah terlanjur di network kita. Akibatnya bandwith yang menghubungkan network kita tetep akan terpakai. Akhirnya dengan pertimbangan daripada membebankan mesin web saya, akhirnya saya blok akses http IP-IP yang telah terbukti mengirim HTTP CONNECT (lewat httpd log) di router cisco saya. Analisa 2 kali serangan kemaren, dengan ngeblok packet dari IP-IP tersebut (yang artinya packetnya di silently discard ama router), serangan jadi berhenti setelah sekian waktu. Hth, Hananto L. Wibowo [EMAIL PROTECTED] (^_^) > -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > Sent: Wednesday, June 16, 2004 7:57 AM > To: [EMAIL PROTECTED] > Subject: Re: [tanya-jawab] mrtg tinggi tnp ada yg pake > > > > ngebloknya gimana ? > > > oot, > > hari ini ada yang ngebom httpd dari luar, dengan request HTTP nya > > semua CONNECT aaa.bbb.ccc.dddd:25. ada sekitar 20 IP yang > ngebom, dan > > masing2 IP ngirim header HTTP sekitar 4 kali semenit > > > > minggu lalu juga sama, tapi dengan jumlah IP yang lebih banyak, > > sekitar 50 IP. > > > > mungkin kejadiannya sama juga di network anda. saya mengetahuinya > > lewat netstat dan log http yang diserang. > > > > setelah di blok di router, beres :) > > > > hth, > > > > anto > > > > On 6/15/2004, "[EMAIL PROTECTED]" > > <[EMAIL PROTECTED]> > > wrote: > > > >>dear all > >> > >>aku punya mesin nat nich , 2 hari ini sudah di tutup semua > service dan > >>engga ada user yg koneksi tapi pas di chek di MRTG ko masih tinggi > >>yach koneksinya . > >> > >>service yg dijalankan > >>1.dns ( bind 9.2.3) > >>2.database ( mysql 2.35 ) > >>3.http&https( apache 1.3.29( php/4.3.1,mod_ssl/2.8.16 > openSSL/0.9.61 > >>) 4.ftp ( proftpd 1.2.9 ) 5.ssh ( ssh-1.99-OpenSSH_3.4p1) > >> > >> > >>terima kasih > >> > >> > >> > >>-- > >>Unsubscribe: kirim email kosong ke > [EMAIL PROTECTED] > >>Arsip dan info di http://linux.or.id/milis.php > >>FAQ milis http://linux.or.id/faq.php > >> > > > > -- > > Unsubscribe: kirim email kosong ke > [EMAIL PROTECTED] > > Arsip dan info di http://linux.or.id/milis.php > > FAQ milis http://linux.or.id/faq.php > > > > > > > -- > Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] > Arsip dan info di http://linux.or.id/milis.php > FAQ milis http://linux.or.id/faq.php > -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
