2009/7/28 Arief Yudhawarman <arief.mi...@jember.net>: > Salah satu web server kemasukan cracker. Kelihatan dia memanfaatkan hole > di salah satu aplikasi web. Ada script yang mencurigakan di folder /tmp. > Dia bisa create account, hapus /var/log/lastlog shg log dia masuk tdk > terlihat. Langkah sementara yg dilakukan buat partisi /tmp not executable. > > Untuk cek apakah server sudah compromised, langkah2 apa yg perlu dilakukan ? > Saya md5sum `ps` dan `top` dibandingkan dengan server lain (OS sama) > tidak berbeda. Ada yg lain ?
# downtime lama boot dengan liveCD security periksa pakai check rootkit periksa md5sum semua file penting, bandingkan dengan distro + konf sama # downtime lumayan, masih belum bisa deteksi lengkap juga sniff traffic reboot matikan semua daemon kalau ada traffic aneh, lacak trojannya # downtime minimum, tapi belum tentu bisa deteksi lengkap lsof -i -n; periksa apakah semua daemon dikenal kalau ada daemon aneh, lacak -- andika -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis