Blog.YHT.Web.ID

Icon

Bosan adalah awal dari penciptaan perubahan.

Lagi-lagi Serangan via SSH

Mulai minggu kemarin saya harus memindahkan data dari VPS dikarenakan pergantian sistem oleh masterweb. Tidak ada masalah hingga baru saja, iseng, saya melakukan pengecekan log.

Dulu mesin saya di rumah memang pernah diserbu dari alamat Qingdao, Shandong. Dan ini pengalaman saya kedua melaporkan peristiwa penyerangan via weblog

Perintah iseng saya hanya sebaris saja.

root@vps2:~# cat /var/log/auth.log.1 | grep POSSIBLE

Lalu muncullah 356 baris yang menunjukkan asal koneksi. Dan lagi-lagi awal serangan berasal sebagian besar dari domain .CN, lalu dari alamat yang dimiliki telkom speedy dan dari Amsterdam.

Berikut hasil tes beberapa ip :

yht@blankon:~$ nmap 122.225.97.87

Starting Nmap 6.00 ( http://nmap.org ) at 2014-12-29 03:27 WIT
Nmap scan report for huzhou.ctc.mx.fund123.cn (122.225.97.87)
Host is up (0.24s latency).
Not shown: 991 closed ports
PORT STATE SERVICE
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp open http
110/tcp filtered pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
1433/tcp filtered ms-sql-s

Nmap done: 1 IP address (1 host up) scanned in 34.35 seconds
yht@blankon:~$ nmap 222.124.95.42

Starting Nmap 6.00 ( http://nmap.org ) at 2014-12-29 03:36 WIT
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.07 seconds
yht@blankon:~$ nmap 61.174.50.149

Starting Nmap 6.00 ( http://nmap.org ) at 2014-12-29 03:36 WIT
Nmap scan report for 149.50.174.61.dial.wz.zj.dynamic.163data.com.cn (61.174.50.149)
Host is up (0.18s latency).
Not shown: 963 closed ports, 26 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
135/tcp open msrpc
143/tcp open imap
554/tcp open rtsp
1025/tcp open NFS-or-IIS
3306/tcp open mysql
8888/tcp open sun-answerbook

Nmap done: 1 IP address (1 host up) scanned in 28.08 seconds
yht@blankon:~$ nmap 93.174.93.10

Starting Nmap 6.00 ( http://nmap.org ) at 2014-12-29 03:38 WIT
Nmap scan report for cbcs.newneighborhoodmsgs.link (93.174.93.10)
Host is up (0.23s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
3260/tcp filtered iscsi

Nmap done: 1 IP address (1 host up) scanned in 19.11 seconds
yht@blankon:~$

Dari pilihan di atas saya mengesampingkan bahwa ip yang digunakan adalah dinamis, toh hanya menunjukkan asal serangan saja.

Dan satu catatan saya. Serangan dimulai tepat satu hari setelah sistem ter-setup. Dari mana mereka tahu ip aktif? Entahlah, mungkin mereka hanya sekedar ip scanning.

Lalu setelah ini saya akan melakukan apa? Kembali tidur, Saudara. Hari masih gelap.

Kategori: /home/yht

Tag: , ,

Leave a Reply