Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Results 1 to 11 of 11
  1. #1
    Status
    Offline
    manakautau's Avatar
    Member
    Join Date
    Aug 2010
    Location
    Pedalaman Hutan Kalimantan tengah
    Posts
    175
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0

    Ada yang mau menjebol Mikrotik

    Halooo...Para Master semua??

    Saya mau tanya, beberapa hari ini saya mendapatkan hal seperti gambar dibawah ini, dimana pada log file Mikrotik.

    Click here to enlarge

    disini terlihat ada seseorang akan menjebol Mikrotik saya melalui port SSH atau kadang melalui Port telnet.
    saya ingin menanyakan apakah ini yang disebut ddos attack / Port scanner / apa??

    dan bagaimana cara mengatasi-nya, untuk port scanner saya sudah memang rules-nya di mikrotik

    Mohon bantuan pencerahannyaClick here to enlarge

  2. #2
    Status
    Offline
    armyoty's Avatar
    Newbie
    Join Date
    Apr 2010
    Posts
    58
    Reviews
    Read 0 Reviews
    Downloads
    3
    Uploads
    0
    Feedback Score
    0
    ip service, rubah aja port2 standardnya di situ.. kalo emang ga diperlukan ya disable aja tuh ssh sama telnetnya...

  3. #3
    Status
    Offline
    rahwana's Avatar
    Forum Guru
    Join Date
    Nov 2007
    Location
    Sidoarjo, Jawa Timur, Indonesia, Indonesia
    Posts
    1,337
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Buat para beginner memang biasanya suka 'standart' saja pasang router. Untuk itu sebaiknya diperhatikan untuk port-port berikut :
    - proxy biasanya di 3128 atau 8080
    - telnet biasanya di 23
    - ftp biasanya di 21
    - ssh biasanya di 22

    Biasanya di semua jenis mesin baik itu Linux, Mikrotik, Windows, dll menggunakan service port tersebut. Efeknya banyak orang yang dengan sengaja melakukan scan ke port tersebut untuk melihat apakah port itu terbuka atau tidak. Kalau port 23 dan 22 jelas hubungannya dengan remote, maka tidak heran banyak orang iseng coba2 masuk, siapa tau usernya masih admin password admin atau 1234 atau malah kosongan.
    Hal ini diperparah dengan banyaknya program untuk 'coba2' login di port 22 dan 23. Karena itu, saran sebaiknya kedua port itu dipindahkan saja ke port lain yang kita anggap lucky number atau aman. Beberapa orang memindahkan port 22 itu ke 20022 atau 22222 atau 822 atau yang lain, suka-suka mereka. Dan biasanya karena tidak standar, orang jadi males nebak2 port nya apalagi nebak2 user passwordnya.
    Untuk mikrotik, mengganti portnya sederhana cukup lewat /ip service

    Sedangkan untuk proxy, kita punya resiko open proxy kalau kita pakaia port standart 8080 atau 3128. Karena itu biasanya perlu pasang 'firewall' di proxy untuk membatasi siapa yang bisa pakai (allow) dan yang lain tidak bisa.

    Salam,

    Ayom Rahwana
    -----------------------
    PT. Laxo Global Akses
    Internet Provider for Solo, Surabaya, Sidoarjo, Kediri, Purwokerto
    Cabang Baru Kami : Ponorogo, Tulungagung, Blitar, Mojokerto
    Contact Us if you need Internet : ayom.rahwana@gmail.com

  4. #4
    Status
    Offline
    manakautau's Avatar
    Member
    Join Date
    Aug 2010
    Location
    Pedalaman Hutan Kalimantan tengah
    Posts
    175
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by rahwana Click here to enlarge
    Buat para beginner memang biasanya suka 'standart' saja pasang router. Untuk itu sebaiknya diperhatikan untuk port-port berikut :
    - proxy biasanya di 3128 atau 8080
    - telnet biasanya di 23
    - ftp biasanya di 21
    - ssh biasanya di 22

    Biasanya di semua jenis mesin baik itu Linux, Mikrotik, Windows, dll menggunakan service port tersebut. Efeknya banyak orang yang dengan sengaja melakukan scan ke port tersebut untuk melihat apakah port itu terbuka atau tidak. Kalau port 23 dan 22 jelas hubungannya dengan remote, maka tidak heran banyak orang iseng coba2 masuk, siapa tau usernya masih admin password admin atau 1234 atau malah kosongan.
    Hal ini diperparah dengan banyaknya program untuk 'coba2' login di port 22 dan 23. Karena itu, saran sebaiknya kedua port itu dipindahkan saja ke port lain yang kita anggap lucky number atau aman. Beberapa orang memindahkan port 22 itu ke 20022 atau 22222 atau 822 atau yang lain, suka-suka mereka. Dan biasanya karena tidak standar, orang jadi males nebak2 port nya apalagi nebak2 user passwordnya.
    Untuk mikrotik, mengganti portnya sederhana cukup lewat /ip service

    Sedangkan untuk proxy, kita punya resiko open proxy kalau kita pakaia port standart 8080 atau 3128. Karena itu biasanya perlu pasang 'firewall' di proxy untuk membatasi siapa yang bisa pakai (allow) dan yang lain tidak bisa.

    Salam,

    Ayom Rahwana
    -----------------------
    PT. Laxo Global Akses
    Internet Provider for Solo, Surabaya, Sidoarjo, Kediri, Purwokerto
    Cabang Baru Kami : Ponorogo, Tulungagung, Blitar, Mojokerto
    Contact Us if you need Internet : ayom.rahwana@gmail.com
    berarti serangan ini bisa dibilang sebagai "PORT SCANNERS" yaaa....kalau berdasarkan penjelasan dari broo Ayom
    atau ada nama lain??masalahnya firewall tidak hanya saya pasang di mikrotik saja tetapi di modem internetnya, settingan firewallnya juga saya aktifkan sehingga tidak bisa tembus....
    serta passwordnya juga saya ubah se-unik mungkin

  5. #5
    Status
    Offline
    luceent's Avatar
    Baru Gabung
    Join Date
    Aug 2007
    Posts
    1
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Itu namanya brute force om.. bisa diblok koq..

  6. #6
    Status
    Offline
    Neo.Caliph's Avatar
    Baru Gabung
    Join Date
    Aug 2012
    Location
    Sengkaling, Malang
    Posts
    13
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Talking

    ini dicoba bang, contoh firewall yang dinamis untuk block brute force attack :P

    /ip firewall filter

    ALLOW hanya 3 kesalahan FTP login per menit dan mem BLOK selama 3 jam setelahnya

    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
    comment="drop ftp brute forcers"
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
    address-list=ftp_blacklist address-list-timeout=3h

    kemudian kita melakukan black list untuk servis SSH brute force login setelah 4 kesalahan login. Dan melakukan BAN selama 10 hari.

    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
    comment="drop ssh brute forcers" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=10d comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
    action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
    address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 comment="SSH for secure shell"

    jika perlu lakukan BLOK semua downstream ke alamat itu

    add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
    comment="drop ssh brute downstream" disabled=no

    ciaw Click here to enlarge
    Last edited by Neo.Caliph; 07-10-2012 at 09:15.

  7. #7
    Status
    Offline
    questecs's Avatar
    Baru Gabung
    Join Date
    Oct 2012
    Posts
    13
    Reviews
    Read 0 Reviews
    Downloads
    3
    Uploads
    0
    Feedback Score
    0
    ngikuut nyimak ah,sm dngn kasus ane brusan....IP2 luar bnyak msuk di log mikrotik ane n merah2Click here to enlarge

  8. #8
    Status
    Offline
    rahwana's Avatar
    Forum Guru
    Join Date
    Nov 2007
    Location
    Sidoarjo, Jawa Timur, Indonesia, Indonesia
    Posts
    1,337
    Reviews
    Read 0 Reviews
    Downloads
    2
    Uploads
    0
    Feedback Score
    0
    Program untuk cari port opennya memang pakai port scanner.
    Tapi proses mencoba menembus passwordnya pakai brute force.
    Solusinya adalah : jangan menggunakan port standart untuk telnet atau ssh atau service penting yang lain.
    untuk mikrotik aja kadang saya saran port www di ip service diganti aja dari 80 ke yang lain biar nggak kelihatan itu mikrotik.

    Salam,

    Ayom Rahwana
    -----------------------
    PT. Laxo Global Akses
    Internet Provider for Solo, Surabaya, Sidoarjo, Kediri, Purwokerto
    Cabang Baru Kami : Ponorogo, Tulungagung, Blitar, Mojokerto
    Contact Us if you need Internet : ayom.rahwana@gmail.com

  9. #9
    Status
    Offline
    manakautau's Avatar
    Member
    Join Date
    Aug 2010
    Location
    Pedalaman Hutan Kalimantan tengah
    Posts
    175
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by Neo.Caliph Click here to enlarge
    ini dicoba bang, contoh firewall yang dinamis untuk block brute force attack :P

    /ip firewall filter

    ALLOW hanya 3 kesalahan FTP login per menit dan mem BLOK selama 3 jam setelahnya

    add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
    comment="drop ftp brute forcers"
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
    address-list=ftp_blacklist address-list-timeout=3h

    kemudian kita melakukan black list untuk servis SSH brute force login setelah 4 kesalahan login. Dan melakukan BAN selama 10 hari.

    add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
    comment="drop ssh brute forcers" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=10d comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
    action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
    address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=22 comment="SSH for secure shell"

    jika perlu lakukan BLOK semua downstream ke alamat itu

    add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
    comment="drop ssh brute downstream" disabled=no

    ciaw Click here to enlarge
    Thanks Broo atas ilmu-nyaaaClick here to enlargeClick here to enlargeClick here to enlarge

  10. #10
    Status
    Offline
    manakautau's Avatar
    Member
    Join Date
    Aug 2010
    Location
    Pedalaman Hutan Kalimantan tengah
    Posts
    175
    Reviews
    Read 0 Reviews
    Downloads
    7
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by rahwana Click here to enlarge
    Program untuk cari port opennya memang pakai port scanner.
    Tapi proses mencoba menembus passwordnya pakai brute force.
    Solusinya adalah : jangan menggunakan port standart untuk telnet atau ssh atau service penting yang lain.
    untuk mikrotik aja kadang saya saran port www di ip service diganti aja dari 80 ke yang lain biar nggak kelihatan itu mikrotik.

    Salam,

    Ayom Rahwana
    -----------------------
    PT. Laxo Global Akses
    Internet Provider for Solo, Surabaya, Sidoarjo, Kediri, Purwokerto
    Cabang Baru Kami : Ponorogo, Tulungagung, Blitar, Mojokerto
    Contact Us if you need Internet : ayom.rahwana@gmail.com
    Oke...Bro Ayom terima kasih atas penjelasannya....
    masalah baru kali ini ane belajar mikrotik yang terhubung dengan jaringan luar.....jadi mencoba sedikit memahami

  11. #11
    Status
    Offline
    andrian's Avatar
    Baru Gabung
    Join Date
    Oct 2012
    Posts
    17
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Bener gan, mending diganti aja port sshnya, btw kalo winbox bisa diubah ga ya portnya?

 

 

Thread Information

Users Browsing this Thread

There are currently 4 users browsing this thread. (0 members and 4 guests)

Similar Threads

  1. ask cara menjebol atau mencari username and pass mikrotik setting
    By slonong_boy in forum General Networking
    Replies: 16
    Last Post: 05-05-2010, 20:27

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •