thank teman-teman...saya emang sepertinya harus install ulang :( mail server .... tapi sekarang saya udah tau cracker itu dari mana...dan udah 5 hari ini sepertinya masih aman semenjak ssh gak aktif.... saya masih cari tau gimana pseudo user....ada..yang tau tutorialnya gak....sambil saya google niee..
Hidup Linuxx... samurai rgds ----- Original Message ----- From: "Fajar Priyanto" <[EMAIL PROTECTED]> To: <[email protected]> Sent: Wednesday, March 09, 2005 1:03 PM Subject: Re: [tanya-jawab] mail server di crack > Server yang udah sekali kemasukan cracker, sebaiknya di format abis. > Kamu install awstats ngga? Bulan lalu sempat heboh karena adanya security hole > di awstats, termasuk servernya phpbb di destroy datanya. > Sebaiknya format ulang aja. > > > On Tuesday 08 March 2005 11:27 pm, I Wayan Yuliarta wrote: > > ----- Original Message ----- > > From: "samurai" <[EMAIL PROTECTED]> > > To: <[email protected]> > > Sent: Tuesday, March 08, 2005 11:26 AM > > Subject: Re: [tanya-jawab] mail server di crack > > > > > nah ...yang ini nie..saya belom tau jurusnya ...bisa diperjelas dikit > > > mas....soalnya gini,,pagi ini saya cek mail server saya eh..dia masuk > > > lagi...dan file-file trojan dia letakkan di direktory /bin dengan nama > > > sp0...yang dialamnya ada perintah untuk mengacaukan server saya...dan > > > > untuk > > > > > pembersihan trjoan saya delet manual semuanya berserta linknya ...dan > > > saya cek dengan chrootkit...kemudian server sepertinya aman...kemudian > > > saya > > > > blok > > > > > ssh untuk sementara dan port yang gak perlu dengan iptables sehingga > > > > ketika > > > > > saya scan port server cuma port 80, 110 ,25 dan 143 aja yang aktif... > > > > hmm taunya dia masuk lagi gimana? ada tanda2nya? > > mungkin saja dia tidak masuk, tapi ada program/daemon yg sengaja > > mendownload dari internet, file2 yg diperlukan buat ngerjain anda. > > scan port pake apa? nmap? secara default nmap tidak mengcover port2 > > tinggi.. Sapa tau ada daemon di port tinggi.. > > gunakan : netstat -lpn > > > > > nah sekarang ssh saya blok...karena setelah saya cek dari log > > > ssh...memang sepertinya ada user yang masuk sesuai dengan perkiraan > > > anda... > > > bisa tolong dijelaskan gimana maksudnya pseudo-user...padahal di file > > > /etc/hosts.denny saya buat sshd : ALL EXCEPT ip_pc_saya untuk > > > monitoring.. > > > > pseudo-user adalah user yg ditujukan utk menjalankan service2 seperti httpd > > ( user apache ), atau user yg dibuat sebagai pengganti root dalam > > menjalankan tugasnya ( alasan keamanan ). Dan biasanya shellnya /bin/false > > bukannya shell aktif seperti bash ato sh. > > SSH pake tcp_wrapper? bukan standalone yak? > > > > > >1 lagi utk user2 yg bisa login via ssh, perhatikan file .authorize_keys > > > > di > > > > > > masing2 $HOME/.ssh > > > > hal diatas memungkinkan user tsb bisa login tanpa ditanya password, > > > > > > biarpun > > > > > > > password diganti tetep bisa login. > > > > > > nah...bisa dijelasin cara ini ..kok bisa...??? dan penangannya gimana.. > > > > SSH bisa digunakan dgn berbagai macam cara salah satu nya menggunakan > > password dan berdasarkan public/private key. > > Urutan auth pada SSH : Host-Based auth lalu Public Key lalu baru password > > secara interaktif. > > Jika kita taro public key pada $HOME/.ssh/authorized_keys di kompie tujuan > > dan private key pada $HOME/.ssh/ ( biasanya pake RSA/DSA ) > > proses authorisasi akan berhenti pada mekanisme Public Key. dan langsung > > masuk ke shell. > > Utk lebih jelas ttg mekanisme ini, silahkan googling.. :) > > > > Good Luck!! > > > > IWY > > > > > Terima kasih > > > > > > > > > samurai > > -- > Fajar Priyanto | Reg'd Linux User #327841 | http://linux2.arinet.org > 13:01:33 up 4:44, Mandrakelinux release 10.1 (Official) for i586 > public key: https://www.arinet.org/fajar-pub.key > > -- > Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] > Arsip, FAQ, dan info milis di http://linux.or.id/milis > Tidak bisa posting? Baca: > http://linux.or.id/problemmilis > http://linux.or.id/tatatertibmilis > > -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis Tidak bisa posting? Baca: http://linux.or.id/problemmilis http://linux.or.id/tatatertibmilis
