Server yang udah sekali kemasukan cracker, sebaiknya di format abis. Kamu install awstats ngga? Bulan lalu sempat heboh karena adanya security hole di awstats, termasuk servernya phpbb di destroy datanya. Sebaiknya format ulang aja.
On Tuesday 08 March 2005 11:27 pm, I Wayan Yuliarta wrote: > ----- Original Message ----- > From: "samurai" <[EMAIL PROTECTED]> > To: <[email protected]> > Sent: Tuesday, March 08, 2005 11:26 AM > Subject: Re: [tanya-jawab] mail server di crack > > > nah ...yang ini nie..saya belom tau jurusnya ...bisa diperjelas dikit > > mas....soalnya gini,,pagi ini saya cek mail server saya eh..dia masuk > > lagi...dan file-file trojan dia letakkan di direktory /bin dengan nama > > sp0...yang dialamnya ada perintah untuk mengacaukan server saya...dan > > untuk > > > pembersihan trjoan saya delet manual semuanya berserta linknya ...dan > > saya cek dengan chrootkit...kemudian server sepertinya aman...kemudian > > saya > > blok > > > ssh untuk sementara dan port yang gak perlu dengan iptables sehingga > > ketika > > > saya scan port server cuma port 80, 110 ,25 dan 143 aja yang aktif... > > hmm taunya dia masuk lagi gimana? ada tanda2nya? > mungkin saja dia tidak masuk, tapi ada program/daemon yg sengaja > mendownload dari internet, file2 yg diperlukan buat ngerjain anda. > scan port pake apa? nmap? secara default nmap tidak mengcover port2 > tinggi.. Sapa tau ada daemon di port tinggi.. > gunakan : netstat -lpn > > > nah sekarang ssh saya blok...karena setelah saya cek dari log > > ssh...memang sepertinya ada user yang masuk sesuai dengan perkiraan > > anda... > > bisa tolong dijelaskan gimana maksudnya pseudo-user...padahal di file > > /etc/hosts.denny saya buat sshd : ALL EXCEPT ip_pc_saya untuk > > monitoring.. > > pseudo-user adalah user yg ditujukan utk menjalankan service2 seperti httpd > ( user apache ), atau user yg dibuat sebagai pengganti root dalam > menjalankan tugasnya ( alasan keamanan ). Dan biasanya shellnya /bin/false > bukannya shell aktif seperti bash ato sh. > SSH pake tcp_wrapper? bukan standalone yak? > > > >1 lagi utk user2 yg bisa login via ssh, perhatikan file .authorize_keys > > di > > > > masing2 $HOME/.ssh > > > hal diatas memungkinkan user tsb bisa login tanpa ditanya password, > > > > biarpun > > > > > password diganti tetep bisa login. > > > > nah...bisa dijelasin cara ini ..kok bisa...??? dan penangannya gimana.. > > SSH bisa digunakan dgn berbagai macam cara salah satu nya menggunakan > password dan berdasarkan public/private key. > Urutan auth pada SSH : Host-Based auth lalu Public Key lalu baru password > secara interaktif. > Jika kita taro public key pada $HOME/.ssh/authorized_keys di kompie tujuan > dan private key pada $HOME/.ssh/ ( biasanya pake RSA/DSA ) > proses authorisasi akan berhenti pada mekanisme Public Key. dan langsung > masuk ke shell. > Utk lebih jelas ttg mekanisme ini, silahkan googling.. :) > > Good Luck!! > > IWY > > > Terima kasih > > > > > > samurai -- Fajar Priyanto | Reg'd Linux User #327841 | http://linux2.arinet.org 13:01:33 up 4:44, Mandrakelinux release 10.1 (Official) for i586 public key: https://www.arinet.org/fajar-pub.key -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis Tidak bisa posting? Baca: http://linux.or.id/problemmilis http://linux.or.id/tatatertibmilis
