Cara Mendeteksi Log Login Gagal dan Serangan Brute-Force di VPS Linux untuk Keamanan Maksimal

Pengantar

Keamanan server VPS Linux bergantung pada seberapa baik Anda memantau aktivitas login dan mendeteksi percobaan akses yang mencurigakan.
Salah satu ancaman paling umum adalah serangan brute-force, di mana hacker mencoba ribuan kombinasi username dan password untuk menembus sistem.

Jika login gagal berulang kali tidak terdeteksi, hal ini dapat menjadi celah serius yang berpotensi menyebabkan kompromi akses root. Oleh karena itu, memahami cara membaca log keamanan Linux adalah langkah penting dalam mempertahankan keamanan server Anda.

Lokasi dan Jenis Log di Linux

Setiap distribusi Linux mencatat aktivitas login ke file log tertentu:

Debian / Ubuntu: /var/log/auth.log
CentOS / RHEL / AlmaLinux: /var/log/secure

Log ini mencatat semua aktivitas autentikasi SSH, termasuk:

Failed password : Percobaan login dengan password yang salah.
Invalid user : Login menggunakan username yang tidak ada.

Accepted password : Login berhasil.
Contoh isi log:

Nov 12 06:28:47 mars sshd[1080160]: Failed password for invalid user user from 45.135.232.177 port 23126 ssh2
Nov 12 06:28:48 mars sshd[1080160]: Connection reset by invalid user user 45.135.232.177 port 23126 [preauth]

Untuk menampilkan semua percobaan login gagal, jalankan perintah berikut:
```
grep "Failed password" /var/log/auth.log | less
```
Perintah ini akan menampilkan daftar waktu, username, dan alamat IP sumber percobaan login gagal.
Gunakan less agar hasil bisa digulir dengan mudah.
Contoh hasil:
```
Nov 12 10:05:44 vps sshd[2145]: Failed password for root from 203.0.113.8 port 42311 ssh2
Nov 12 10:06:10 vps sshd[2146]: Failed password for root from 203.0.113.8 port 42312 ssh2
```
Dari log di atas, terlihat IP 203.0.113.8 mencoba login berulang kali indikasi awal adanya brute-force attack.

Pantau Log Secara Realtime:
Jika ingin melihat serangan yang sedang berlangsung:

tail -f /var/log/secure | grep "Failed password"

Contoh hasil:

Nov 12 12:07:00 storage sshd[1492138]: Failed password for root from 103.179.185.12 port 61174 ssh2
Nov 12 12:07:01 storage sshd[1492141]: Failed password for root from 103.173.229.229 port 56030 ssh2

Analisis Pola Serangan Brute-Force

Untuk mengetahui IP mana yang paling sering gagal login, Anda bisa menggunakan kombinasi grep, awk, dan sort:

grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head

Hasilnya akan menampilkan daftar IP dengan jumlah percobaan gagal login terbanyak:

45 203.0.113.8
12 198.51.100.22
7 192.0.2.15

Semakin tinggi angka di depan IP, semakin besar kemungkinan IP tersebut melakukan serangan brute-force.

Langkah Keamanan Tambahan

Begitu mendeteksi percobaan login mencurigakan, lakukan langkah berikut:

Nonaktifkan login root via SSH :

sudo nano /etc/ssh/sshd_config

Ubah:

PermitRootLogin no

Simpan dan restart SSH:

sudo systemctl restart sshd

Gunakan port SSH non-standar
Misalnya:
```
Port 2222
```
Aktifkan Fail2Ban
Fail2Ban akan otomatis memblokir IP yang gagal login berulang kali.
Panduan lengkapnya bisa kamu baca di sini:
Panduan Lengkap Fail2Ban: Cara Melindungi VPS Linux dari Serangan Brute-Force SSH

Kesimpulan

Dengan rutin memantau log SSH, kamu bisa mendeteksi percobaan login gagal lebih awal dan mencegah akses tidak sah ke server.
Gunakan kombinasi antara monitoring manual, Fail2Ban, dan pengaturan SSH yang aman agar VPS kamu selalu terlindungi dari serangan brute-force.