Difference between revisions of "Cyber Security: Detect and remove trojans in a Linux operating system"
Onnowpurbo (talk | contribs) |
Onnowpurbo (talk | contribs) |
||
| Line 37: | Line 37: | ||
| service --status-all || cek exception pada service yang running. | | service --status-all || cek exception pada service yang running. | ||
|- | |- | ||
| − | | chkconfig --list || | + | | chkconfig --list || pipe dengan grep :on - cek apakah ada exception di service yang start automatis. |
|- | |- | ||
| ls -lt /etc/init.d/ || cek head command apakah ada abnormal startup scripts. | | ls -lt /etc/init.d/ || cek head command apakah ada abnormal startup scripts. | ||
Revision as of 13:50, 14 June 2023
Jika kerentanan terdeteksi di sistem operasi Linux Anda tetapi Anda tidak mengambil tindakan pencegahan, trojan dapat dimasukkan ke dalam sistem Anda. Anda harus menghapus trojan dari sistem Anda sesegera mungkin. Selain itu, Anda harus memperkuat keamanan sistem Anda dengan menggunakan beberapa metode. Misalnya, Anda dapat menginstal patch keamanan, mengontrol izin sistem, mengaudit operasi, dan menganalisis log.
Step 1: Gunakan Use Security Center untuk detect trojan
Masuk ke Security Center console untuk menangani peringatan dan menghapus trojan yang terdeteksi sesegera mungkin. Untuk informasi selengkapnya, lihat Melihat dan menangani peristiwa peringatan.
Perbaiki kerentanan sedini mungkin untuk memperkuat keamanan sistem Anda. Untuk informasi selengkapnya, lihat Melihat dan menangani kerentanan perangkat lunak Linux.
Step 2: Query detail attack
| Run Command | Description |
|---|---|
| last | |
| lastlog | cek waktu masuk terakhir dan akun masuk. Kemudian, lock akun yang tidak normal |
| grep -i Accepted /var/log/secure | Cek IP address user yang masuk dari remote |
| /var/spool/cron/ | cek cron job |
| /etc/cron.hourly | |
| /etc/crontab | |
| find / -ctime 1 | cek file terakhir yang di update, ini salah satu cara mencek trojan |
| sudo more /etc/passwd | cek ada user yang aneh atau tidak |
| sudo more /etc/shadow | |
| sudo ls /tmp | temporary directory dengan permission 1777 biasanya dipakai upload trojan |
| sudo ls /var/tmp | |
| sudo ls /dev/shm | |
| service --status-all | cek exception pada service yang running. |
| chkconfig --list | pipe dengan grep :on - cek apakah ada exception di service yang start automatis. |
| ls -lt /etc/init.d/ | cek head command apakah ada abnormal startup scripts. |
| Cek apakah ada exception di log services seperti Tomcat atau NGINX, yang port service-nya bisa di akses dari Internet. |
Step 3: Run command yang sering digunakan untuk mendeteksi trojan
| Command | Keterangan |
|---|---|
| ps atau top | Cek running processes & system resources yang digunakan processes. Kita dapat mengidentifikasi abnormal processes. |
| pstree | Visualisai hubungan antar process dalam treemap. |
| lsof | Query file yang dibuka oleh sebuah process, file / directory yang digunakan process, process yang membuka port spesifik, semua port yang ada di system. |
| netstat | Query semua port yang dimonitor oleh system, network connection status, dan IP address yang menyebabkan sambungan yang excessive. |
| iftop | Monitor network traffic forwarded over TCP connection. Kita dapat membedakan traffic yang masuk dan keluar, dan identifikasi IP address dengan mempunyai traffic tidak normal. |
| nethogs | Monitor network traffic dan di sort berdasarkan traffic volume. Kita bisa mengidentifikasi proses yang tidak normal. |
| strace | Trace system call yang dijalankan oleh proses yang spesifik. Kita bisa menganalisa running status dari trojan. |
| strings | Dapatkan string charecter printable di file. Kita dapat menggunakan string untuk analyze trojans. |