Student di brute force terus menerus

May 16, 2005 | 8 comments

Tadi pagi, seperti biasanya saya menyempatkan diri datang ke server student untuk memantau server dan membaca auth.log nya. Hasilnya sudah bisa ditebak, auth.log sudah membengkak menjadi 1 Megabyte lebih. Setelah saya baca saya mendapatkan beberapa IP address penyerang, yaitu :

  • 203.69.18.100
  • 203.197.124.195
  • 202.98.203.29
  • 202.55.229.226
  • 202.134.82.163
  • 202.153.41.139


Setelah itu saya mulai mengidentifikasi asal negara IP-IP diatas:

  • 203.69.18.100 : Taiwan
  • 203.197.124.195 : India
  • 202.98.203.29 : China
  • 202.55.229.226 : Taiwan
  • 202.134.82.163 : Hongkong
  • 202.153.41.139 : India

Untuk lebih lengkapnya saya sertakan juga hasil pencarian dari Apnic

IP:	      203.69.18.100
inetnum:      203.69.0.0 - 203.69.255.255
netname:      HINET-TW
descr:        CHTD, Chunghwa Telecom Co.,Ltd.
descr:        Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.
descr:        Taipei Taiwan 100
country:      TW
--------------------------------------------------------
IP:	      203.197.124.195
inetnum:      203.197.0.0 - 203.197.255.255
netname:      VSNL-IN
descr:        Videsh Sanchar Nigam Ltd - India.
descr:        Videsh Sanchar Bhawan, M.G. Road
descr:        Fort, Bombay 400001
country:      IN
--------------------------------------------------------
IP:	      202.98.203.29
inetnum:      202.98.192.0 - 202.98.223.255
netname:      CHINANET-GZ
descr:        CHINANET Guizhou province network
descr:        Data Communication Division
descr:        China Telecom
country:      CN
--------------------------------------------------------
IP:	      202.55.229.226
inetnum:      202.55.224.0 - 202.55.255.255
netname:      UNIGATENET
descr:        Network topology of Unigate Telecom Inc.
country:      TW
--------------------------------------------------------
IP:	      202.134.82.163
inetnum:      202.134.64.0 - 202.134.95.255
netname:      GENESIS
descr:        Genesis Net Limited
country:      HK
--------------------------------------------------------
IP:	      202.153.41.139
inetnum:      202.153.32.0 - 202.153.47.255
netname:      EXCELL-NET
descr:        Excell Media Pvt Ltd
descr:        Cable ISP
descr:        Hyderabad A.P, India
country:      IN

Mulai dari sekarang IP address diatas akan masuk daftar hitam server student

8 comments

Comments feed for this article

May 17, 2005 at 9:24 pm

aafyn

aafyn’s avatar

auth.log itu buat apa Ren…?
ngapain server student diserang sama Taiwan, India, etc….iseng banget :D

May 17, 2005 at 9:50 pm

Rendra

Rendra’s avatar

auth.log adalah log yang mencatat proses autentikasi, baik yang berhasil maupun yang gagal.
Setelah gw cari di google, ip diatas memang sering digunakan untuk yang kayak gitu itu.

May 26, 2005 at 9:31 pm

KoronX

KoronX’s avatar

wahh, ag boleh gitu dong pak admin studen, mendingan 3 kali salah close session ajah, jangan diblok gitu, tar kalo beneran saya dari india, pengen konek gimana ?

May 28, 2005 at 2:09 pm

Rendra

Rendra’s avatar

3 kali salah? mereka itu ratusan kali kalo nge bruteforce. lagi pula yang diblok cuma ssh saja kok.

August 20, 2006 at 3:51 pm

eW1ng

eW1ng’s avatar

ipb.ac.id pake joomla ? bug nya belum di benerin ya ? btw, kalo ip belum bisa menjamin alamat attacker karena bisa pake proxy

August 20, 2006 at 5:50 pm

Rendra

Rendra’s avatar

@5: wah, ipb.ac.id pake joomla? gak tau deh? kayanya bukan. Lagipula itu bukan urusan gw :d. ipb.ac.id emang sering kena hack tuh :( denger-denger sih gara-gara lubang di claroline.

Server student.ilkom.fmipa.ipb.ac.id udah mati sekarang, pertama gak dapet jatah IP public lagi dan kedua katanya harddisknya sekarang udah rusak.

Kalo mengenai attacker ada banyak cara sebenarnya, bisa pake IDS atau IPS. untuk sshnya sendiri sekarang (dulu)gw malah pake whitelist. Jadi diluar IP yang di whitelist gak bakal bisa konek ssh.

December 15, 2007 at 1:59 pm

toni

toni’s avatar

auth.log itu ada dimana?folder public_html yah?

December 17, 2007 at 1:33 pm

Rendra

Rendra’s avatar

auth.log ada di /var/log