Alexa SSH Brute Force Defense Tool Kali ini saya akan membahas tentang tool yang bernama Alexa,tapi bukan alexa traffic rank lho.. hehe, alexa yang ini beda jauh dengan alexa traffic rank karena ini fungsinya untuk SSH Brute Force Defense Tool atau kalau diterjemahkan jadi tool untuk pertahanan serangan SSH Brute Force. Sekedar informasi bahwa tool ini dibuat oleh member dari IHTB(IHackedThisBox) dengan nickname magikh0e(
[email protected]) download link http://ihtb[dot]org/releases/Alexa-0x1[dot]tar[dot]gz. Untuk perkenalannya saya anggap cukup dan sekarang kita menuju intinya, Bagaimana tool ini bekerja? Berikut penjelasannya : "Alexa works by monitoring your SSH log authentication information in real time, by parsing the FIFO log file you will be creating. Alexa will watch for attackers attemtping to log on to your box via SSH, each time an attacker attempts to login the session is recorded and given a statistic point. The maximum attempts is a configurable option you can specify for how many times a failed SSH login will be allowed from a particular host,before denying any further communication from that host/person. This will essentially allow us to block the would be attackers from brute forcing an SSH account. Thise code could very easily be adopted to other services." Mungkin bila diterjemahkan menjadi seperti ini :
"Alexa bekerja dengan cara melakukan monitoring SSH log auth secara real time dari FIFO log file yang akan kita buat. Alexa akan melakukan monitoring attacker yang mencoba untuk masuk ke komputer kita melalui port SSH, setiap kali attacker mencoba untuk login maka session akan dicatat. Kita bisa mengatur sendiri maximal berapa kali gagal login dan deny host yang kita anggap adalah attacker yang melakukan brute force pada SSH. " Setelah kita tahu bagaimana tool ini bekerja maka selanjutnya adalah proses configuration dan setup dari tool ini agar bisa diadaptasikan dengan mesin kita. Sebelum kita memulai menggunakan alexa ada hal yang perlu dirubah agar alexa ini bisa berjalan selayaknya yang diinginkan. Saya anggap bila toolnya sudah didownload dan diextract. Berikut apa saja yang harus dirubah dari sistem kita agar bisa menggunakan Alexa.
Membuat file FIFO log
Membuat file fifo log dengan command 'mkfifo /var/log/auth' untuk log auth dari alexa nantinya seperti pada Gambar 1.0
Gambar 1.0 Membuat fifo file
Maka akan tampil sebuah file baru bernama auth dengan tambahan ‘p’ yaitu mengindikasikan bahwa file tersebut adalah sebuah pipe[1] . File FIFO ini akan digunakan untuk penyimpanan log nantinya. Tahap selanjutnya adalah konfigurasi syslog[2] atau rsyslog agar terintegrasi dengan Alexa.
Edit syslog file atau rsyslog file
Edit syslog.conf atau rsyslog.conf bila file syslog.conf tidak ada. Selanjutnya tambahkan local3,authpriv.* |/var/log/auth seperti pada Gambar 1.1
Gambar 1.1 Konfigurasi syslog
Bagian "# First some standard log files. Log by facility." Setelah diedit maka akan menjadi seperti gambar diatas. Edit file yang sudah disebutkan diatas dengan user root atau bisa juga menggunakan bantuan dari sudo karena file tersebut membutuhkan permission super user. Setelah itu, kita akan mengkonfigurasi ulang config yang sudah ada pada service sshd. sshd_config biasanya berada di /etc/ssh/ssd_config namun bila tidak ada maka gunakan command locate sshd_config untuk mengetahui dimana letak file tersebut disimpan. Edit file sshd_config dan carilah string berikut : SyslogFacility AUTH
Dan kemudian ganti dengan string berikut : SyslogFacility local3
Gambar 1.2 Editing sshd_config Restart service syslog/rsyslog & sshd agar konfigurasi yang kita ubah sebelumnya diterapkan pada system. Nah setelah semua sudah dilakukan maka tahap selanjutnya adalah menjalankan Alexa yang sudah didownload sebelumnya dengan menggunakan command seperti dibawah setelah memasuki directory alexa : perl alexa.pl Tahap terakhir adalah memonitoring semua akses dari log file FIFO yang sudah kita buat sebelumnya. FIFO file ini bila kita melakukan listing file akan tampil 0 memory seperti pada Gambar 1.0. Ketika ‘cat < /var/log/auth/’ untuk melihat semua session dari system kita secara
realtime. Sekian tutorial yang singkat ini semoga berguna dan maaf bila ada penjelasan yang salah.
Referensi : 1. http://www.linuxjournal.com/article/2156 2. http://en.wikipedia.org/wiki/Syslog