Cyber Security: Detect and remove trojans in a Linux operating system
Jika kerentanan terdeteksi di sistem operasi Linux Anda tetapi Anda tidak mengambil tindakan pencegahan, trojan dapat dimasukkan ke dalam sistem Anda. Anda harus menghapus trojan dari sistem Anda sesegera mungkin. Selain itu, Anda harus memperkuat keamanan sistem Anda dengan menggunakan beberapa metode. Misalnya, Anda dapat menginstal patch keamanan, mengontrol izin sistem, mengaudit operasi, dan menganalisis log.
Apakah kita dapat dengan mudah mengatasi backdoor? Jujur "Really, you can't. If you suspect a server's been compromised, a clean install is the best option. There are just too many ways to hide a backdoor for there to be any reliable way of searching for them. You can't even necessarily trust the output of any commands you run."
Step 1: Gunakan Use Security Center untuk detect trojan
Masuk ke Security Center console untuk menangani peringatan dan menghapus trojan yang terdeteksi sesegera mungkin. Untuk informasi selengkapnya, lihat Melihat dan menangani peristiwa peringatan.
Perbaiki kerentanan sedini mungkin untuk memperkuat keamanan sistem Anda. Untuk informasi selengkapnya, lihat Melihat dan menangani kerentanan perangkat lunak Linux.
Step 2: Query detail attack
| Run Command | Description |
|---|---|
| last | |
| lastlog | cek waktu masuk terakhir dan akun masuk. Kemudian, lock akun yang tidak normal |
| grep -i Accepted /var/log/secure | Cek IP address user yang masuk dari remote |
| /var/spool/cron/ | cek cron job |
| /etc/cron.hourly | |
| /etc/crontab | |
| find / -ctime 1 | cek file terakhir yang di update, ini salah satu cara mencek trojan |
| find / -name Slot | cek file dengan nama Slot |
| sudo more /etc/passwd | cek ada user yang aneh atau tidak |
| sudo more /etc/shadow | |
| sudo chage -l namauser | cek status namauser |
| sudo ls /tmp | temporary directory dengan permission 1777 biasanya dipakai upload trojan |
| sudo ls /var/tmp | |
| sudo ls /dev/shm | |
| service --status-all | cek exception pada service yang running. |
| chkconfig --list | pipe dengan grep :on - cek apakah ada exception di service yang start automatis. |
| ls -lt /etc/init.d/ | cek head command apakah ada abnormal startup scripts. |
| Cek apakah ada exception di log services seperti Tomcat atau NGINX, yang port service-nya bisa di akses dari Internet. |
Step 3: Run command yang sering digunakan untuk mendeteksi trojan
| Command | Keterangan |
|---|---|
| ps atau top | Cek running processes & system resources yang digunakan processes. Kita dapat mengidentifikasi abnormal processes. |
| pstree | Visualisai hubungan antar process dalam treemap. |
| lsof | Query file yang dibuka oleh sebuah process, file / directory yang digunakan process, process yang membuka port spesifik, semua port yang ada di system. Coba lsof -i -P -n |
| netstat | Query semua port yang dimonitor oleh system, network connection status, dan IP address yang menyebabkan sambungan yang excessive. Coba watch -n 3 netstat -an, netstat -aon, netstat -ntlp |
| iftop | Monitor network traffic forwarded over TCP connection. Kita dapat membedakan traffic yang masuk dan keluar, dan identifikasi IP address dengan mempunyai traffic tidak normal. |
| nethogs | Monitor network traffic dan di sort berdasarkan traffic volume. Kita bisa mengidentifikasi proses yang tidak normal. |
| strace | Trace system call yang dijalankan oleh proses yang spesifik. Kita bisa menganalisa running status dari trojan. Coba strace -p PID |
| strings | Dapatkan string charecter printable di file. Kita dapat menggunakan string untuk analyze trojans. |
| iptables | pastikan hanya port yang dibutuhkan yang diberi akses / di ijinkan |