Friday, November 30, 2012

Cara Membaca /var/log/btmp

File log btmp berisi daftar koneksi login yang gagal masuk ke server. Semakin lama ukuran file tersebut bertambah besar. Artinya banyak intruder yang coba-coba masuk ke server. untuk itu perlu dilakukan proses backup file tersebut secara berkala.
Proses ini dapat memanfaatkan logrotate. Berikut langkah seting di /etc/logratate.conf :

/var/log/btmp {
    monthly
    minsize 1M
    create 0600 root utmp
    rotate 1
}

Bagaimana cara membaca file log btmp ??
# last -f /var/log/btmp
atau # lastb
Hasilnya seperti dibwh :








Tampak ip 218.92.75.130 melakukan brute-force dengan port 22. untuk antisipasi segera lakukan filter dapat menggunakan iptables.
Tips :
-Menghitung jumlah entry intruder, jalankan perintah :
#last -f /var/log/btmp | awk '{print $3}' | sort | uniq -c | sort -n

-----------
Sumber : http://www.question-defense.com/2009/07/03/how-to-read-varlogbtmp-rotate-the-btmp-log-with-logrotate
Diposkan oleh di

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)