ntpd attack [1]

-

Pada 10 Feb 2014 terima e-mail pemberitahuan dari pak Dono [Indosat] bahwa koneksi internet ke UKDW dimatikan sementara karena ada traffic upstream sangat besar/flooding dari UKDW ke arah Indosat mulai tgl 9 Feb kira-kira jam 00.00.

Proses investigasi: 
- Periksa statistik traffic di switch Catalyst, ada beberapa server dan router yg terhubung disini seperti  server Sinta, Faith dan lain-lain.
- Statistik di catalyst kemudian di-cross-check dengan traffic yang tercatat di masing-masing server maupun router, dan akhirnya diketahui asal traffic tersebut berasal dari server Faith [sistem operasi FreeBSD] yang merupakan gateway ke internet utk LAN laboratorium (internet) 

Untuk memastikan jenis traffic yang lewat sebenarnya perlu melihat statistik di routerboard yang ada di lab, tapi karena ada sedikit hambatan koordinasi, maka investigasi difokuskan pada server Faith itu sendiri:

Langkah pertama: periksa semua process [ps] yang jalan di server Faith [sistem operasi Freebsd] sepintas tidak ada yang aneh/di luar kebiasaan.

Langkah selanjutnya periksa statistik traffic yg dibuat oleh vnstat (vnstat harian dan mingguan dijalankan lewat cron), hasilnya mengkonfirmasi laporan dari Indosat tentang terjadinya flood upstream

Berikutnya coba periksa sekali lagi process yang ada, kali ini dengan perintah 'top' dan terlihat ada kejanggalan yaitu proses ntp ternyata menggunakan cpu resource (jauh) lebih besar dari biasanya.
# grep ntpd /var/log/messages diperoleh:
Feb  8 07:41:11 faith ntpd[856]: too many recvbufs allocated (40)
Feb  8 07:41:11 faith ntpd[856]: too many recvbufs allocated (40)
Feb  8 09:56:43 faith ntpd[856]: too many recvbufs allocated (40)
Feb  8 18:46:15 faith ntpd[856]: too many recvbufs allocated (40)
.......
.......
Feb  9 09:00:00 faith ntpd[856]: too many recvbufs allocated (40)
Feb  9 09:58:52 faith ntpd[856]: too many recvbufs allocated (40)
Feb  9 16:25:43 faith ntpd[856]: too many recvbufs allocated (40)
Feb 10 08:54:42 faith ntpd[856]: too many recvbufs allocated (40)

Siang harinya setelah koneksi internet sudah dipulihkan oleh Indosat, dilakukan pengamatan terhadap tingkah laku process ntpd ini, dan ternyata kembali muncul traffic yang lebih besar dari yang normalnya ditimbulkan oleh proses query ntp, maka langsung diambil tindakan mematikan proses ntpd.

Hasil googling 'ntpd attack' diperoleh beberapa artikel menarik, salahsatunya:
http://www.pcworld.com/article/2096720/attackers-use-ntp-reflection-in-huge-ddos-attack.html

Sebelum solusi ditemukan maka untuk sementara diputuskan mematikan semua proses ntpd di semua server.

....bersambung...

Comments

Post a Comment

Popular posts from this blog

ipfw - FreeBSD firewall [contoh rules]

-
ipfw adalah stateful firewall pada sistem operasi FreeBSD, kemampuannya tidak terbatas pada filtering packet, tapi juga NAT, dummynet traffic shaper, forward, bridge dan ipstealth. Berikut ini adalah beberapa contoh rules ipfw yang berguna untuk melakukan filtering pada packet data yang lewat: #ipfw add 1 deny all from $IP_address/32 to any [untuk blokir koneksi dari sebuah IP_address ke server atau komputer kita, blokir total atau dengan kata lain: semua port/koneksi diblokir] #route add -net $IP_address/32 127.0.0.1 -blackhole [ini hanya contoh bahwa dengan perintah route kita bisa melakukan hal yang mirip dengan ipfw firewall, hasil perintah diatas mirip dengan rule ipfw sebelumnya, yaitu: semua koneksi dari IP_address ke komputer kita akan diblokir] #ipfw add 2 deny MAC any $MAC_address/48 [ipfw juga mampu memblokir koneksi dari suatu komputer dengan MAC address nya, syaratnya tentu saja komputer yang kita blokir berada di LAN yang sama dengan komputer kita, sehingga bi
Read more

the specified server cannot perform the requested operation

-
Image
Pemberitaan yang sangat gencar tentang virus wannacrypt/wannacry di beberapa media online pertengahan Mei 2017 ternyata menyisakan efek positif di kalangan pengguna PC di lingkungan kerja. Media memang tidak cuma menggambarkan tentang betapa runyamnya kalau sampai PC kita tertular tapi juga memberi beberapa tips utk pencegahan yang bisa dikatakan merupakan best practice dalam perawatan (ringan/harian) PC dan seharusnya merupakan hal rutin yang dilakukan oleh semua user, contoh: menjalankan Windows Update (khususnya security update) secara periodik/manual ataupun otomatis, update [database] antivirus, dsb. Berdasar pengamatan sejak kehebohan wannacry, semakin banyak user yang mendownload antivirus & update windows, bisa terlihat dari traffic di proxy maupun routerboard yg menunjukkan banyaknya akses ke windowsupdate.com ataupun berbagai URL yg menyediakan antivirus & update virus definition. Penjelasan wikipedia ttg wannacry menyebutkan bahwa virus ini memanfaatkan kelemahan
Read more

Mencari Jumlah Pengguna Hotspot per hari [Freeradius - FreeBSD - Chillispot]

-
Sebagai gambaran awal: wifi di kampus kami menggunakan server dengan sistem operasi FreeBSD sebagai gateway.  Di server tsb kami mengintegrasikan berbagai service: Apache, MySQL, Freeradius, pf dan Chillispot utk membuat hotspot gateway, dimana mahasiswa dan karyawan harus login sebelum dapat mengakses Internet melalui wifi kampus. Trend [jumlah] pengguna wifi mengalami peningkatan khususnya dengan makin banyaknya pengguna smartphone.  Dalam kondisi seperti ini kadang muncul pertanyaan: berapa sebenarnya user yang login ke hotspot kampus per hari?  Di server ini kami memang tidak menginstal aplikasi utk membantu proses reporting pengguna, sehingga perlu sedikit trik untuk menjawab pertanyaan simpel seperti diatas. Untuk tugas tersebut kita cukup menggunakan beberapa tools yg tersedia di FreeBSD spt: cut, sort dan uniq serta radlast [yang merupakan bagian dari Freeradius]. Langsung saja, untuk memperoleh jumlah pengguna hotspot dalam 1 hari: gunakan perintah: # radlast | grep sesu
Read more