Aktivitas Malware/Flooding?

[co_muda]

Selamat siang pak MR,

saya dapet norifikasi ini dari pihak vps :

We have detected abuse from the IP address x.x.x.x, which according to a whois lookup is on your network. We would appreciate if you would investigate and take action as appropriate.

Log lines are given below, but please ask if you require any further information.

(If you are not the correct person to contact about this please accept our apologies - your e-mail address was extracted from the whois record by an automated process.)

Kind regards,
Gofferje Defence Systems Consulting
Security Department
Haukantie 2b5
37600 Valkeakoski
Suomi/Finland

Phone: +358-41-7290730
Email: security@defcon.gofferje.net


Note: Local timezone is +0300 (EEST)
Jul 21 13:56:42 k-tanco sshd[17049]: Failed password for root from x.x.x.x port 55075 ssh2
Jul 21 13:56:45 k-tanco sshd[17053]: Failed password for root from x.x.x.x port 55270 ssh2
Jul 21 13:56:49 k-tanco sshd[17056]: Failed password for root from x.x.x.x port 55466 ssh2
Jul 21 13:56:52 k-tanco sshd[17110]: Failed password for root from x.x.x.x port 55663 ssh2
Jul 21 13:56:55 k-tanco sshd[17129]: Failed password for root from x.x.x.x port 55838 ssh2
Jul 21 13:56:59 k-tanco sshd[17132]: Invalid user oracle from x.x.x.x
Jul 21 13:56:59 k-tanco sshd[17132]: Failed password for invalid user oracle from x.x.x.x port 56030 ssh2
Jul 21 13:57:02 k-tanco sshd[17137]: Invalid user postgres from x.x.x.x
Jul 21 13:57:02 k-tanco sshd[17137]: Failed password for invalid user postgres from x.x.x.x port 56226 ssh2
Jul 21 13:57:09 k-tanco sshd[17144]: Failed password for root from x.x.x.x port 56438 ssh2

mereka mengatakan ini adalah salah satu aktivitas malware. Apakah ini murni berasal dari "luar" atau kemungkinan ada bug di kloxoMR ya pak? Saya pikir flooding diatas sangat menghabiskan resource vps saya. Dan saya kira ini bukan orang sembarangan.

Mohon bantuannya, apa yang harus saya lakukan setelah ini, karena harus menghubungi pihak vps sesegera mungkin. Sebagai tambahan saya menggunakan nginx-proxy sbg web server.

[MRatWork]

Bisa jadi anda pakai aplikasi yang pakai plugin yang 'kurangajar'.

[co_muda]

Bisa jadi anda pakai aplikasi yang pakai plugin yang 'kurangajar'.

Ga ngerti dengan maksud "kurangajar" yg bpk katakan..  :shock:
saya ga ada instal aplikasi apapun, dengan kata lain murni dari kloxoMR sendiri pak.

Apakah ini murni kelemahan vps saya ya pak? Atau mungkin bpk ada saran peningkatan keamanan yg harus saya lakukan?

[MRatWork]

Bisa jadi anda pakai aplikasi yang pakai plugin yang 'kurangajar'.

Ga ngerti dengan maksud "kurangajar" yg bpk katakan..  :shock:
saya ga ada instal aplikasi apapun, dengan kata lain murni dari kloxoMR sendiri pak.

Apakah ini murni kelemahan vps saya ya pak? Atau mungkin bpk ada saran peningkatan keamanan yg harus saya lakukan?

Saya pernah dapat 'pemberitahuan' dari Hetzner. Setelah saya lacak rasanya tidak ada yang mencurigakan di VPS saya, ya saya diamkan saja 'pemberitahuan' tersebut. Setelah itu tidak pernah datang lagi.

Anda bisa lihat di 'Log Manager' pada 'RKHunter' soal sesuatu yang mencurigakan itu.

[prandah]

pernah ini terjadi di server saya,
ternyata eh ternyata server saya kena hacked
dikarenakan password root yangbkurang strenght
dan si pelaku malakukan beberapa perubahan, yaitu drngan menaruh bot
silahkan cek dulu aktifitas history nya, kalo dah dihapus y udah apes namanya

[co_muda]

Saya pernah dapat 'pemberitahuan' dari Hetzner. Setelah saya lacak rasanya tidak ada yang mencurigakan di VPS saya, ya saya diamkan saja 'pemberitahuan' tersebut. Setelah itu tidak pernah datang lagi.

Anda bisa lihat di 'Log Manager' pada 'RKHunter' soal sesuatu yang mencurigakan itu.

banyak aktivitasnya pak, saya trace ip kebanyakan china dan japan. ada jg finlandia.

pernah ini terjadi di server saya,
ternyata eh ternyata server saya kena hacked
dikarenakan password root yangbkurang strenght
dan si pelaku malakukan beberapa perubahan, yaitu drngan menaruh bot
silahkan cek dulu aktifitas history nya, kalo dah dihapus y udah apes namanya

iya bro, sama.
Gawatnya lagi dia pake server sy buat koneksi ke server lain. Makanya sy dapet notif dari korban asli.
Sy cek jg memang pake bot, terjadi rata2 koneksi setiap 3 detik.
File web memang ga ada yg dihapus. Untuk sementara saya sudah ubah semua password kloxo,vps hingga vps panel. Saya juga sudah ubah ssh port dan kloxo port.

bagaimana caranya membuat allow ip range untuk ssh ya?
karena sy pakai koneksi isp lokal yg ip-nya dinamis. Atau mungkin ip by country.

@pak MR, topik saya masih di topic kloxo, jadi sekiranya gpp ya pak sy bahas dan tanya disini (forum kloxo-MR)?

[MRatWork]

Php (dipakai oleh website) bisa kirim email melalui mekanisme sendmail atau smtp. Karena website adalah internal maka qmail sebagai pelayan sendmail atau smtp sebagai pengirim yang sah.

JIka pengirim berasal dari luar (tentunya melalui mekanisme smtp) maka qmail beranggapan sebagai pengirim tidak sah kecuali yang pakai Kloxo/Kloxo-MR men-setting qmail sebagai 'open-relay' (siapapun bisa pakai smtp server).