2009/7/28 Arief Yudhawarman <arief.mi...@jember.net>:
> Salah satu web server kemasukan cracker. Kelihatan dia memanfaatkan hole
> di salah satu aplikasi web. Ada script yang mencurigakan di folder /tmp.
> Dia bisa create account, hapus /var/log/lastlog shg log dia masuk tdk
> terlihat. Langkah sementara yg dilakukan buat partisi /tmp not executable.
>
> Untuk cek apakah server sudah compromised, langkah2 apa yg perlu dilakukan ?
> Saya md5sum `ps` dan `top` dibandingkan dengan server lain (OS sama)
> tidak berbeda. Ada yg lain ?

# downtime lama
boot dengan liveCD security
periksa pakai check rootkit
periksa md5sum semua file penting, bandingkan dengan distro + konf sama

# downtime lumayan, masih belum bisa deteksi lengkap juga
sniff traffic
reboot
matikan semua daemon
kalau ada traffic aneh, lacak trojannya

# downtime minimum, tapi belum tentu bisa deteksi lengkap
lsof -i -n; periksa apakah semua daemon dikenal
kalau ada daemon aneh, lacak

--
andika

-- 
FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab
Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id
Arsip dan info milis selengkapnya di http://linux.or.id/milis

Kirim email ke