Email Hack (SMTP FAILED LOGIN)


Status
Not open for further replies.
gatotkacahost.com

gatotkacahost.com

Poster 1.0
Dear para mastah...
Di server kami terdeteksi beberapa ip di blacklist oleh firewall karena salah login smtp mail sampai 5 kali.
dan di cek bukan hanya 1 atau 2 tapi banyak banget.

IPnya bukan dari 1 ip tapi dari berbagai negara, tidak perlu disebutkan negara2nya, soalnya banyak banget :D

salah satu contoh report via email :

Code: 
Reverse DNS: 95-30-240-167.broadband.corbina.ru

Origin Country: Russian Federation (RU)
Code: 
Reverse DNS: cordsless-turnout.volia.net

Origin Country: Ukraine (UA)
Code: 
Reverse DNS: node-115.pool-125-26.dynamic.totbb.net

Origin Country: Thailand (TH)
Code: 
Reverse DNS: 187-84-210.18.static.stech.net.br

Origin Country: Brazil (BR)

Apakah ini pertanda ada yang ngehack salah satu email user di cpanel ?
atau apakah ini suatu penyerangan ?

mohon bimbinganya ya :)
 
Itu sepertinya botnet mas, memang botnet sering melakukan serangan bruteforce kemana-mana.

Kebanyakan kalau berdasarkan prilakunya, target adalah acak (mungkin hasl dari search engine/komputer terinfeksi/dll) jadi sepertinya bukan khusus menyerang.
 
benar, saya juga sering dapat notif seperti itu ..
 
ceo.ahlul said:
Itu sepertinya botnet mas, memang botnet sering melakukan serangan bruteforce kemana-mana.

Kebanyakan kalau berdasarkan prilakunya, target adalah acak (mungkin hasl dari search engine/komputer terinfeksi/dll) jadi sepertinya bukan khusus menyerang.
Click to expand...

oh begitu ya mas..
nah cara penangananya seperti apa ya mas, siapa tau mas pernah memberantas botnet dengan trik2 khusus, biar menjadi ilmu yang bermanfaat :D

pluto01 said:
iya saya jg sering dpt seperti itu namun IP yg paling banyak dari Cina
Click to expand...

galuh82 said:
benar, saya juga sering dapat notif seperti itu ..
Click to expand...

apakah sudah ada obatnya mas ? :D
 
kalau targetnya smtp (post 25), mungkin bisa dicoba blok dan aktifkan altenative smtp portnya, trus broadcast ke client biar pake alternatif smtp port :) CMIIW
 
galuh82 said:
kalau targetnya smtp (post 25), mungkin bisa dicoba blok dan aktifkan altenative smtp portnya, trus broadcast ke client biar pake alternatif smtp port :) CMIIW
Click to expand...

Secara default memang sudah di alihkan ke port lain mas dan di blok..
nah mungkin di blok salah satu karena tidak memakai port 25 juga, si botnet mungkin menggunakan port 25.
 
gatotkacahost.com said:
oh begitu ya mas..
nah cara penangananya seperti apa ya mas, siapa tau mas pernah memberantas botnet dengan trik2 khusus, biar menjadi ilmu yang bermanfaat :D
Click to expand...

He2 kalau disini biasanya kita anggap itu hanya "say hello" aja mas.. jadi diabaikan saja.. karena dengan CSF jika memang salah beberapa kali akan terblokir. Dan juga dengan asumsi password mengandung bahasa indonesia dan prilaku orang indonesia yang berbeda dengan luar negeri bisa jadi butuh sangat lama untuk mengetahui password dnegan bruteforce apalagi setelah sekian percobaan akan di blok oleh cpanel. Pun digilir misalkan ratusan IP oleh bot net tetap saja akan butuh waktu lama.

Namun hal di atas perlu dicatat jika memang masnya menemukan intensitas coba-coba nya biasa saja. Kalau misal intensitas tinggi, mungkin bisa mas pelajari langsung saat kejadian.

Mungkin tambahan lainnya adalah selalu mengingatkan user untuk ganti password berkala dan jangan menggunakan kata yang mudah ditebak.
 
Kalau pakai csf, coba diaktifkan fitur csf.blocklists nya, tinggal uncomment filter ip yang diinginkan misalnya kayak gini:

# Spamhaus Don't Route Or Peer List (DROP)
# Details: http://www.spamhaus.org/drop/
SPAMDROP|86400|0|http://www.spamhaus.org/drop/drop.lasso

# Spamhaus Extended DROP List (EDROP)
# Details: http://www.spamhaus.org/drop/
SPAMEDROP|86400|0|http://www.spamhaus.org/drop/edrop.lasso

# DShield.org Recommended Block List
# Details: http://dshield.org
DSHIELD|86400|0|http://feeds.dshield.org/block.txt

# TOR Exit Nodes
# Details: https://trac.torproject.org/projects/tor/wiki/doc/TorDNSExitList
TOR|86400|0|http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1

# BOGON list
# Details: http://www.team-cymru.org/Services/Bogons/
BOGON|86400|0|http://www.cymru.com/Documents/bogon-bn-agg.txt

# Project Honey Pot Directory of Dictionary Attacker IPs
# Details: http://www.projecthoneypot.org
HONEYPOT|86400|0|http://www.projecthoneypot.org/list_of_ips.php?t=d&rss=1

# C.I. Army Malicious IP List
# Details: http://www.ciarmy.com
CIARMY|86400|0|http://www.ciarmy.com/list/ci-badguys.txt

# BruteForceBlocker IP List
# Details: http://danger.rulez.sk/index.php/bruteforceblocker/
BFB|86400|0|http://danger.rulez.sk/projects/bruteforceblocker/blist.php

# Emerging Threats - Russian Business Networks List
# Details: http://doc.emergingthreats.net/bin/view/Main/RussianBusinessNetwork
RBN|86400|0|http://rules.emergingthreats.net/blockrules/rbn-ips.txt

# OpenBL.org 30 day List
# Details: http://www.openbl.org
OPENBL|86400|0|http://www.us.openbl.org/lists/base_30days.txt

# Autoshun Shun List
# Details: http://www.autoshun.org/
AUTOSHUN|86400|0|http://www.autoshun.org/files/shunlist.csv

# MaxMind GeoIP Anonymous Proxies
# Details: http://www.maxmind.com/en/anonymous_proxies
MAXMIND|86400|0|http://www.maxmind.com/en/anonymous_proxies
Click to expand...

Rata-rata ip botnet / spambot sudah masuk ke filter itu semua, cuma bakal ngabisin resource cpu/memory
 
ceo.ahlul said:
He2 kalau disini biasanya kita anggap itu hanya "say hello" aja mas.. jadi diabaikan saja.. karena dengan CSF jika memang salah beberapa kali akan terblokir. Dan juga dengan asumsi password mengandung bahasa indonesia dan prilaku orang indonesia yang berbeda dengan luar negeri bisa jadi butuh sangat lama untuk mengetahui password dnegan bruteforce apalagi setelah sekian percobaan akan di blok oleh cpanel. Pun digilir misalkan ratusan IP oleh bot net tetap saja akan butuh waktu lama.

Namun hal di atas perlu dicatat jika memang masnya menemukan intensitas coba-coba nya biasa saja. Kalau misal intensitas tinggi, mungkin bisa mas pelajari langsung saat kejadian.

Mungkin tambahan lainnya adalah selalu mengingatkan user untuk ganti password berkala dan jangan menggunakan kata yang mudah ditebak.
Click to expand...

bener juga mas alul :D
paling tinggal ingatkan user untuk ganti password berkala :D

terima kasih mas atas saran dan ilmunya..
semoga bermanfaat dunia akhirat :)

voezie said:
Kalau pakai csf, coba diaktifkan fitur csf.blocklists nya, tinggal uncomment filter ip yang diinginkan misalnya kayak gini:



Rata-rata ip botnet / spambot sudah masuk ke filter itu semua, cuma bakal ngabisin resource cpu/memory
Click to expand...

wah bagus juga nih, tak coba dulu mas saranya, nanti lihat efek dahulu apakah resourcnya memadai atau tidak :D
 
Status
Not open for further replies.
Back
Top