Mau tanya,
saya abis cek di /var/log/messages, ternyata lognya jalan terus -
panjang sekali - seperti dibawah ini, padahal timing waktu saya cek
adalah malam hari, jadi tidak ada yg masuk untuk cek email atau apapun.
sepertinya activitinya kayak brute force password gitu. keselnya, ada
sebagian user yg dia bisa login, meskipun user tersebut saya kasih dead
shell (istilah saya utk shell yang kalo masuk, gak bisa ngapa2xin, atau
hanya bisa exit doang).
Akhirnya saya ambil kesimpulan service ssh saya matikan di firewall. dan
memang lognya langsung berhenti.
pertanyaannya :
1. apa server saya diserang ?
2. bagaimanya nyalain alertnya ya ? (via email dll) soalnya saya tidak
bisa 24 jam mantengin server
3. service ssh juga harus saya nyalain lagi buat monitoring, kalo
ngrubah port ssh dimana ya ?
berikut petikan lognya.
......bla2x isinya sama dengan dibawah.......
Feb 2 19:54:21 mail sshd[31405]: Failed password for lp from 10.0.0.3
port 28792 ssh2
Feb 2 19:58:57 mail sshd(pam_unix)[31208]: session closed for user netta
Feb 2 19:58:57 mail su(pam_unix)[31238]: session closed for user root
Feb 2 20:03:22 mail sshd[31604]: Accepted password for netta from
10.0.0.33 port 3240 ssh2
Feb 2 20:03:22 mail sshd(pam_unix)[31606]: session opened for user
netta by (uid=0)
Feb 2 20:03:32 mail su(pam_unix)[31633]: session opened for user root
by netta(uid=5001)
Feb 2 20:04:21 mail sshd[31407]: fatal: Timeout before authentication
for 10.0.0.3
Feb 2 20:05:23 mail sshd[31714]: Illegal user abi from 10.0.0.33
Feb 2 20:05:23 mail sshd[31714]: Failed none for illegal user abi from
10.0.0.33 port 3243 ssh2
Feb 2 20:05:27 mail sshd[31714]: Failed password for illegal user abi
from 10.0.0.33 port 3243 ssh2
*Feb 2 20:10:01 mail sshd(pam_unix)[31376]: session closed for user info*
--
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke [EMAIL PROTECTED]
Arsip dan info milis selengkapnya di http://linux.or.id/milis
