Mohon tunggu...
Game Changer
Cerita Pemilih
Analisis Sosok
Fiksiana
Cerbung Cerpen Horor Puisi Roman
Halo Lokal
Bandung Joglosemar Makassar Medan Palembang Surabaya
Humaniora
Bahasa Filsafat Pendidikan Seni Sosbud
Inovasi
Gadget Nature Otomotif
Lyfe
Beauty Book Diary Film Games Healthy Hobby Home Humor Love Music Parenting Worklife
Money
Entrepreneur Financial
New World
Artificial intelligence Cryptocurrency Metaverse NFT
Olahraga
Atletik Balap Bola Raket
Ruang Kelas
Ilmu Alam & Tekno Ilmu Sosbud
Travel Story
Foodie Trip
Video
Vox Pop
Hukum Kebijakan Politik
KOMENTAR
Inovasi

Investigasi Sistem Linux yang Terinfeksi Trojan -2

15 Januari 2010   08:02 Diperbarui: 26 Juni 2015   18:27 551 0
lanjutan dari bagian pertama Setelah diketahui lokasi aplikasi std terletak di folder /flood saya langsung menuju folder tersebut. Dan setelah berada didirektori tersebut, saya cukup tercengang dengan isinya. Didalamnya terdapat aplikasi-aplikasi exploit untuk bermacam jenis system dari target yang dituju dan juga metode yang berbeda-beda pula. Beberapa antaranya dari aplikasi-aplikasi tersebut; ipbomb, nuke, pinger dll. Setelah itu, kita juga ingin mengetahui siapakah atau apakah yang men-trigger aplikasi std itu untuk jalan. Kalau kita melihat kembali ke hasil dari # ps axjf tadi, terlihat parent process dari std adalah httpd. Secara spontan saya langsung mematikan service httpd itu dengan perintah #service httpd stop. [caption id="attachment_53320" align="aligncenter" width="500" caption="# ps axjf"][/caption] Sesaat kita merasa sudah mengambil kendali situasi. Dan kita salah. Ternyata aplikasi httpd yang terlihat tadi bukanlah aplikasi web server melainkan satu paket dengan aplikasi std. Dengan perintah # netstat -pln |grep httpd kita dapatkan info bahwa httpd tiruan itu berjalan di port 47065/udp, dan port tersebut berubah-ubah. Asumsi awal yang menganggap kita sebagai korban juga tidak sepenuhnya benar, bahkan sebenarnya kita dimanfaatkan sebagai bagian dari penyerang DOS (denial of service) ke server-server eropa dan amerika (dugaan dari ip-ip yang di serang adalah ip dari kedua benua tersebut) Jadi contoh perintah ./std 173.63.99.156 53 adalah perintah untuk nge-flood ip 173.63.99.156 dengan port 53. Kita sudah mengetahui cara kerja aplikasi std dan kedudukan aplikasi httpd sebagai parent prosesnya. Untuk tindakan preventifnya saya matikan proses kedua proses tersebut. Dan apabila ternyata masih ada daemon (proses) lainnya yang berfungsi menjalankan aplikasi-aplikasi tersebut, saya coba pindahkan folder itu ke tempat lainnya. Cara sederhana ini dilakukan karena pada umumnya aplikasi (secara default) akan memanggilkan file pendukung lainnya dengan tiga cara, yakni:

  • melihat dari variable path environment
  • parsing direktorinya itu sendiri
  • membaca file konfigurasi (aplikasi hacking jarang se-fleksibel ini)
KEMBALI KE ARTIKEL

LAPORKAN KONTEN
Alasan
Batalkan Laporkan
Laporkan Konten
Laporkan Akun
Akun Terverifikasi
Diberikan kepada Kompasianer aktif dan konsisten dalam membuat konten dan berinteraksi secara positif.
Pelajari selanjutnya.