Senin, 24 Februari 2014

2/24/2014 08:37:00 PM

By Death Voice

In: , , ,

No comments

Alexa SSH Brute Force Defense Tool


  Kali ini saya akan membahas tentang tool yang bernama Alexa,tapi bukan alexa traffic rank lho.. hehe, alexa yang ini beda jauh dengan alexa traffic rank karena ini fungsinya untuk SSH Brute Force Defense Tool atau kalau diterjemahkan jadi tool untuk pertahanan serangan SSH Brute Force. Sekedar informasi bahwa tool ini dibuat oleh member dari IHTB(IHackedThisBox) dengan nickname magikh0e(magikh0e@ihtb.org) download link http://ihtb[dot]org/releases/Alexa-0x1[dot]tar[dot]gz.


  Ok untuk perkenalannya saya anggap cukup dan sekarang kita menuju intinya, Bagaimana tool ini bekerja? Berikut penjelasannya :"Alexa works by monitoring your SSH log authentication information in real time, by parsing the FIFO log file you will be creating. Alexa will watch for attackers attemtping to log on to your box via SSH, each time an attacker attempts to login the session is recorded and given a statistic point. The maximum attempts is a configurable option you can specify for how many times a failed SSH login will be allowed from a particular host,before denying any further communication from that host/person. This will essentially allow us to block the would be attackers from brute forcing an SSH account. Thise code could very easily be adopted to other services."

  Mungkin bila diterjemahkan menjadi seperti ini :


"Alexa bekerja dengan cara memonitor SSH log auth secara real time dari FIFO log file yang akan kita buat. Alexa akan me-monitoring attacker yang mencoba untuk masuk ke komputer kita melalui port SSH, setiap kali attacker mencoba untuk login maka session akan dicatat. Kita bisa mengatur sendiri maximal berapa kali gagal login dan deny host yang kita anggap adalah attacker yang melakukan brute force pada SSH. " 



  Setelah kita tahu bagaimana tool ini bekerja maka selanjutnya adalah proses configuration dan setup dari tool ini agar bisa diadaptasikan dengan mesin kita. Sebelum kita memulai menggunakan alexa ada hal yang perlu dirubah agar alexa ini bisa berjalan selayaknya yang diinginkan.Saya anggap bila toolnya sudah didownload dan diextract. Berikut apa saja yang harus dirubah dari sistem kita agar bisa menggunakan Alexa. 

  • Membuat file fifo log dengan command 'mkfifo /var/log/auth' untuk log auth dari alexa nantinya
 
Membuat fifo file
Gambar 1.0 Membuat fifo file



  • Edit syslog.conf atau rsyslog.conf bila tidak ada syslog.conf maka edit rsyslog.conf/syslog.conf . Selanjutnya tambahkan
    local3,authpriv.* |/var/log/auth seperti yang ada di gambar 1.1
Edit rsyslog.conf
Gambar 1.1 Edit rsyslog.conf


  Blok "# First some standard log files. Log by facility." akan menjadi seperti diatas. Saya sarankan memakai sudo atau root ketika mengedit file diatas karena user biasa tidak mempunyai permission untuk mengedit file rsyslog.conf.

 
  Setelah itu kita akan mengganti config dari sshd, gunakan command locate sshd_config bila tidak tahu dimana letak dari sshd_config. Selanjutnya cari SyslogFacility AUTH dan ganti dengan SyslogFacility local3 . Restart syslog/rsyslog & sshd untuk load config yang tadi sudah kita ganti agar diterapkan pada sistem. 

Edit sshd_config
Gambar 1.2 Edit sshd_config
  Nah setelah semua sudah dilakukan maka tahap selanjutnya adalah menjalankan Alexa yang sudah didownload tadi dengan perl alexa.pl karena Alexa ini dibuat dari perl. 

  Tahap terakhir adalah memonitoring semua akses log file dari FIFO file yang sudah kita buat. FIFO file ini mempunyai 0 memory bila kita listing seperti pada Gambar 1.0. Ketik 'cat < /var/log/auth' untuk melihat semua session dari sistem anda secara realtime.

Sekian tutorial kali ini semoga bermanfaat
Salam

Me a.k.a Death Voice 


 

0 comments:

Posting Komentar