Beberapa waktu lalu report log server di kantor saya atur supaya dikirim rutin via email. Dan ternyata setelah saya perhatikan, dalam satu hari seringkali muncul informasi seperti ini:
Kemungkinan besar hal ini disebabkan karena perilaku user yang sembarangan mengakses ke situs-situs berbahaya. Sehingga IP address kantor tercatat dalam log kunjungan ke situs tersebut dan pada akhirnya diserang balik dari situs tersebut.
Salah satu upaya mengurangi resiko seperti ini adalah dengan membatasi SSHD hanya menerima koneksi dari IP tertentu dan tidak mengijinkan login SSH dengan akun root.
--------------------- pam_unix Begin ------------------------Berdasarkan informasi ini saya menyimpulkan bahwa ternyata memang banyak sekali usaha dari individu/program jahat yang setiap saat mencoba masuk ke sistem kita (melalui SSH). Padahal IP address kantor tidak pernah saya publish keluar.
sshd:
Authentication Failures:
root (112.216.83.178): 69 Time(s)
root (93.89.80.3): 44 Time(s)
unknown (112.216.83.178): 8 Time(s)
root (220.181.83.140): 3 Time(s)
Invalid Users:
Unknown Account: 8 Time(s)
---------------------- pam_unix End -------------------------
Kemungkinan besar hal ini disebabkan karena perilaku user yang sembarangan mengakses ke situs-situs berbahaya. Sehingga IP address kantor tercatat dalam log kunjungan ke situs tersebut dan pada akhirnya diserang balik dari situs tersebut.
Salah satu upaya mengurangi resiko seperti ini adalah dengan membatasi SSHD hanya menerima koneksi dari IP tertentu dan tidak mengijinkan login SSH dengan akun root.
sama mas
dia bolak balik login lwt ssh.telnet.web dengan jam waktu yang sma .. mnyebelin banget pernah bisa sampe bobol internet gak konek sama sekali sampai 2 hari 112.216.83.178
218.15.163.222
174.36.229.148
60.199.248