hacker

Getting brute force attacks in email server

Pagi yang indah tampaknya ternodai oleh kejadian yang agaknya mengganggu kinerja email server. Pagi tenang saya terusik lantaran ada user yang berteriak “Pak…, kenapa email server lambat sekali”, setelah saya pastikan untuk login ke server terasa sangat lambat. Setelah check koneksi dan resource system yang masih wajar saya kemudian melihat file audit.log dimana file audit.log ini merupakan file yang mencatat aktivitas login oleh user. Dan terang saja server menjadi lambat karena ada request login yang cukup banyak, hasil dari audit.log:

2010-05-24 09:26:28,374 WARN  [Pop3Server-1187] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for admin, invalid password;
2010-05-24 09:26:36,595 WARN  [Pop3Server-1196] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for postmaster, invalid password;
2010-05-24 09:26:38,997 WARN  [Pop3Server-1198] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for postmaster, invalid password;
2010-05-24 09:26:42,487 WARN  [Pop3Server-1201] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for postmaster, invalid password;
2010-05-24 09:27:33,481 INFO  [Pop3Server-1253] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; error=account lockout due to too many failed logins;
2010-05-24 09:27:33,525 WARN  [Pop3Server-1253] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for admin, invalid password;
2010-05-24 09:27:34,712 WARN  [Pop3Server-1254] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for postmaster, account lockout;
2010-05-24 09:28:18,536 WARN  [Pop3Server-1296] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for admin, account lockout;
2010-05-24 09:28:27,794 WARN  [Pop3Server-1305] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for postmaster, account lockout;
2010-05-24 09:29:00,790 WARN  [Pop3Server-1338] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for admin, account lockout;
2010-05-24 09:29:12,795 WARN  [Pop3Server-1349] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for admin, account lockout;
2010-05-24 09:30:55,621 WARN  [Pop3Server-1451] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for admin, account lockout;
2010-05-24 09:31:51,629 WARN  [Pop3Server-1502] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for postmaster, account lockout;
2010-05-24 09:32:23,616 WARN  [Pop3Server-1532] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for postmaster, account lockout;
2010-05-24 09:32:48,561 INFO  [Pop3Server-1556] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; error=account lockout due to too many failed logins;
2010-05-24 09:32:48,615 WARN  [Pop3Server-1556] [ip=71.249.235.39;] security – cmd=Auth; [email protected]; protocol=pop3; error=authentication failed for admin, invalid password;

Sebenarnya saya telah membatasi maksimum login fail dan ketika melebihi batas username akan di block untuk sementara, namun nampaknya meski di blok si attacker terus menjalankan aksinya (dasar bot). Masalah ini sudah saya posting di milis CentOS.org dan beberapa member ada yang menggunakan failban, sshdfilter, ataupun iptables. Yang palign sederhana dari ketiga cara diatas ada filter menggunakan iptables. Kurang lebihnya seperti ini:

iptables -A INPUT -p tcp –dport 110 -m state –state NEW -m recent –set –name POP
iptables -A INPUT -p tcp –dport 110 -m state –state NEW -m recent –update –seconds 60 –hitcount 3 –rttl –name POP -j LOG –log-prefix ‘POP3 attack: ‘
iptables -A INPUT -p tcp –dport 110 -m state –state NEW -m recent –update –seconds 60 –hitcount 3 –rttl –name POP -j DROP

Hingga saat ini, saya masih menggunakan iptables sebagai aplikasi filtering baik firewall untuk intranet maupun internet, dan saya pikir iptables cukup reliabel. how to securing email server? how to preventing email server from brute force? Hal yang paling tepat adalah rajin melihat log :)

Referensi:
Milis CentOS.org


centos-boot

Remove Kernel Lama di Linux

Uninstal, remove kernel lama di mesin linux kadang diperlukan ketika partisi /boot sudah terpakai cukup banyak atau dirasa perlu melakukan remove old kernel :D. Sementara di mesin saya pernah mengalami gagal update kernel gara-gara partisi /boot sudah terpakai 95%, karena biasanya /boot hanya saya beri 100-150 MB saja, namun sekarang hampir semua server maupun desktop saya mengalokasikan 200-300 MB untuk partisi /boot, hanya agar lebih aman ketika lupa / malas menghapus kernel lama :). Continue reading “Remove Kernel Lama di Linux” »


Konfigurasi NSS Untuk Samba OpenLDAP

Beberapa hari yang lalu saya melalakukan upgrade bios dan perubahan harddisk dari mode IDE ke SATA AHCI yang kemudian membuat system tidak dapat bekerja (kernel panic) sayapun juga panik karena harus install dan konfig ulang sistem. Yang harus saya lakukan kali ini adalah menginstall CentOS dengan paket BASE dan EDITOR saja, kemudian menggunakna repository sernet-samba dan OpenLDAP untuk mendapat versi terbaru dari samba ini. Setelah semua selesai, kini waktunya test and debugging.

Saat dilakukan testing muncul satu masalah yakni user dan group untuk samba domain tidak dikenali, padahal jika saya lihat di database OpenLDAP semua user dan group telah sama dengan PDC, lalu apa gerangan yang menjadi masalah? Biang kerok dari user dan group samba yang tidak dikenali ini adalah konfigurasi NSS yang masih default sehingga user account dan groups di LDAP tidak dibaca oleh system. “Saya lupa menambahkan atribut ldap di nsswitch.conf.

Apa sih NSS itu?

“The Name Service Switch (NSS) feature provides the means by which add-on modules can be used to implement “classic UNIX system” simple database lookup operations such as getpwnam and getgrgid. The switching off to the various built-in or add-on modules is accomplished through nsdispatch(3C), which is called by the ia_uinfo(3iac), getgrent(3C), getpwent(3C), and getspent(3C) APIs to route the request to the appropriate provider.”

Dibawah ini adalah sepenggal konfigurasi nsswitch.conf yang diperlukan untuk “Samba Domain Controller OpenLDAP Backend”:

passwd:     files ldap
shadow:     files ldap
group:      files ldap

#hosts:     db files nisplus nis dns
hosts:      files dns wins

Dan berikut hasil getent group di Backup Domain Controller:

Domain Admins:*:512:david,itsupport
Domain Users:*:513:
Domain Guests:*:514:nobody
Domain Computers:*:515:
Account Operators:*:548:
Print Operators:*:550:
Backup Operators:*:551:
Replicators:*:552:
Accounting:*:1007:imam,febri
Operation:*:1010:andreas,hendrik,atika,reiner,sony,riski,naruto
HRD:*:1011:
Management:*:1013:
Sales:*:1014:
Secretary:*:1016:
Tender:*:1023:
Administrators:*:544:david,itsupport

Selesai…, cheers!!!

Referensi:
http://samba.org
http://en.wikipedia.org
http://faqs.org


google-pacman

Kenapa Google Berlogo Pac Man?

Setidaknya judul diatas yang muncul ketika saya membuka halaman http://google.co.id, saya sendiri sebetulnya bukan orang yang perhatian terhadap hal-hal seperti ini, tapi kemudian di facebook saya melihat status seorang teman ” hm… pac man….”. Tertarik ada apa dibalik logo google yang menggunakan pac mac kemudian saya mencari informasi mengenai pac man. Continue reading “Kenapa Google Berlogo Pac Man?” »


htaccess

pcfg_openfile: unable to check htaccess file, ensure it is readable

Sehari lalu saya memindahkan web server ke mesin yang lebih baik, processor double core dan ram serta harddisk yang lebih besar (sedikit). Setelah migrasi, saya tidak menggunakan konfigurasi web server sebelumnya, namun memang ada perubahan yang cukup signifikan dari web server tersebut dan salah satunya adalah user group. Jika di server sebelumnya, semua file website dimiliki oleh apache selaku owner service http di apache web server. Namun konfigurasi di server baru saya ingin membuat agar kepemilikan root directory virtual host tetap atas nama user. Setelah setup apache dan virtual host selesai, saya bingung sekali, mata udah ngantuk kepala agak pusing, mungkin perlu istirahat? Sebelum tidur saya menemukan error seperti dibawah ini, dan itu membuat saya tidak bisa tidur, oprek sana oprek sini ternyata tidak membuahkan hasil, karena anehnya masalah ini tidak terjadi pada website lainnya :( Continue reading “pcfg_openfile: unable to check htaccess file, ensure it is readable” »