HELP- Cek user yang melakukan bruteforce

[Rockman]

Saya menggunakan cara ke-2 menyamakan waktu terjadinya serangan via httpry dengan log.

Caranya.
1. Log nya di sentralkan pakai cara apa saja boleh. Kalau saya menggunakan varnish bisa mengaktifkan varnishnsca dan melihat log request http semua domain di varnishnsca.log
2. Jalankan httpry

ketika terjadi request POST dari httpry kemudian lihat log varnishnsca.log di waktu yang sama nah dari situ saya menemukan website yang melakukan serangan keluar.

Saya belum sempat pelajari scriptnya tapi kurang lebih ini script yang saya dapatkan http://pastebin.com/yCU0ggSe

Tambahan pertanyaan:
Kalau yang belum punya server sendiri atau masih sebatas reseller (tanpa akses root), bagaimana cara ceknya ?? apa harus kontak upline nya atau Adakah cara lain supaya tidak kontak upline ??
BTW.., bagaimana cara kerja dan pasang script tersebut beserta fungsinya ??
Thanks...

 

[PusatHosting]

Tambahan pertanyaan:
Kalau yang belum punya server sendiri atau masih sebatas reseller (tanpa akses root), bagaimana cara ceknya ?? apa harus kontak upline nya atau Adakah cara lain supaya tidak kontak upline ??
BTW.., bagaimana cara kerja dan pasang script tersebut beserta fungsinya ??
Thanks...

Ya harus hubungi uplinenya.
Cara kerja, cara pasang, fungsi bisa dibaca dari depan

 

[megdi]

Httpry log sudah ada di Kloxo-MR terakhir.

Wah sruput sekali. MUNGKIN baru kloxo mr yang pake httpry secara default.
Sip.

 

[rajamitra]

Kalau pakai centos/rhel begini caranya

Standar perintah

httpry -i eth0

kalau mau memfilter mencari traffic keluar yaitu POST gunakan perintah ini

httpry -i eth0 | grep POST

Kemudian lihat terus ip address yang diakses keluar yaitu pada kolom-1 ip address pengakses dan pada kolomg ke-2 ip address tujuan.

Contoh

2016-07-14 21:55:24  36.79.5.222  23.92.xxx.xxx  >  POST  xxxx.com  /task.php  HTTP/1.1  - -
2016-07-14 21:55:24  23.92.xxx.xxx  148.163.65.38  >  POST  sitesassure.com /wp_scanner/scan.php  HTTP/1.0  -  -
2016-07-14 21:55:25  36.79.5.222  23.92.xxx.xxx  >  POST  xxx.com  /bank.php  HTTP/1.1  --
2016-07-14 21:55:25  178.137.19.48  23.92.xxx.xxx  >  POST  xxxpublik.com  http://xxxxpublik.com/wp-login.php  HTTP/1.1  -  -
2016-07-14 21:55:26  114.125.83.3  23.92.xxx.xxx  >  POST  xxxbp.com  /ds_useronline.php HTTP/1.1  --

Jika pada kolom ke-1 adalah ip address server maka itu artinya server melakukan akses keluar.

Cara Penyelesaian

1. Cara mudah - tinggal blokir ip address situs tujuan melalui firewall / CSF maka secara otomatis server sudah tidak bisa mengakses keluar ke website tersebut

2. Cara Susah - mencari sumber script penyebab yang melakukan request keluar.
Ketika ada request keluar pasti ada request kedalam server maka waktu itu saya cari ip address satu per satu baris log pada waktu akses yang bersamaan sesuai waktu POST hasil dari httpry.

dan ketemu sumbernya.

Selamat mencoba.

Wah ilmu baru nih dari Mas PH.

Tambahan pertanyaan:
Kalau yang belum punya server sendiri atau masih sebatas reseller (tanpa akses root), bagaimana cara ceknya ?? apa harus kontak upline nya atau Adakah cara lain supaya tidak kontak upline ??
BTW.., bagaimana cara kerja dan pasang script tersebut beserta fungsinya ??
Thanks...

Kalau reseller harus kontek upline nya tuan.

 

[Hosting Bagus]

sering update os, kernel dan cpanelnya aja tuan, kalau brute force biasanya di stop otomatis oleh csf/lfd