On Tue, 2009-07-28 at 02:54 +0000, Arief Yudhawarman wrote: > Salah satu web server kemasukan cracker. Kelihatan dia memanfaatkan hole > di salah satu aplikasi web. Ada script yang mencurigakan di folder /tmp. > Dia bisa create account, hapus /var/log/lastlog shg log dia masuk tdk > terlihat. Langkah sementara yg dilakukan buat partisi /tmp not executable. > > Untuk cek apakah server sudah compromised, langkah2 apa yg perlu dilakukan ? > Saya md5sum `ps` dan `top` dibandingkan dengan server lain (OS sama) > tidak berbeda. Ada yg lain ? > > -- > > Terimakasih sebelumnya. > > Salam, > > ~~ Arief Yudhawarman ~~ > >
wah.. kalau dia sudah berhasil membuat account/username dan hapus log, berarti dia sudah sukses menjadi super user dong :).. layak diberi hadiah handuk tuh pak hehehehehe Coba check pakai chkrootkit, walaupun ini gak akan menjamin server bakal dibobol lagi. Kalau saya jadi admin server tersebut, maka saya akan melakukan langkah2 berikut: 1. Ganti semua password username, bukan cuma root saja! Tapi semuanya, siapa tahu dia sudah sempat copy isi dari /etc/shadow dan nge-crack passwordnya. 2. Kalau memang ada user yang ga butuh shell, mending jangan diberi shell, kasih /sbin/nologin aja 3. Check isi file .ssh/authorized_keys2 dan/atau .ssh/authorized_keys baik di root maupun user lain, perhatikan apakah key yang di sana memang milik anda? Kalau tidak yakin mending hapus saja! 4. Check aplikasi php yang digunakan, lihat di log apachenya untuk mengetahui dia masuk pertama kali lewat mana. 6. Setting ssh daemon anda cuma mau menerima authentikasi menggunakan key saja.. google for it! 7. Lakukan monitoring.. kalau semua hal di atas sudah dilakukan, dan dia masih tetap bisa masuk... format aja deh tuh linux, ganti windows... heheheh joke pak..., kemungkinan dia sudah menanam rootkit yang tidak terdeteksi oleh program chkrootkit Nyoman
signature.asc
Description: This is a digitally signed message part
