Mencari Backdoor Pada VPS Server Anda

artikel ini akan membahas bagaimana Mencari Backdoor Pada VPS Server Anda, kejadian ini barusan terjadi sewaktu masuk kerja sudah dapat tugas dari atasan untuk menganalisis sebuah server.
Kendalanya ini server melakukan dDos ke suatu kampus ternama (sebut saja namanya bunga, 17 tahun, bukan nama sebenarnya -red)

Apa yang mau saya bahas dengan judul tulisan saya kali ini? ketika saya mendapat tugas ini, rasanya wah! tantangan nih
Disini saya mengajak rekan-rekan pembaca bagaimana menemukan file yang di curigai setelah terjadi serangan (got hacked)
Sebelum kita memulai mencari file-file tersebut, kita pahami dulu karakter dari file-file yang di curigai tersebut, biasanya dan pastinya file-file tersebut menggunakan beberapa perintah yang umum digunakan yang katanya “hacker” tersebut. kita dapat menyimpulkan perintah tersebut seperti di bawah ini

passthru
shell_exec
system
phpinfo
base64_decode
chmod
mkdir
fopen
fclose
readfile

jika harus menelusuri per-filenya sangatlah tidak mungkin, disini kita bisa mencoba menggunakan salah satu utiliti yang ada pada sistem operasi linux (grep) dan windows (findstr), dengan menggunakan grep maupun findstr kita tidak harus menelusuri file demi file, kita cukup menunggu hasilnya dan melakukan analisis file mana saja yang mungkin menjadi file-file jahat

Baca juga:  Cara Format dan Mounting HDD di Linux

Mencari Backdoor Pada VPS Server Anda

 grep -Rn "passthru *(" public_html/

baris perintah diatas akan mencari semua string yang mengandung kata passtrhu, pada folder public_html untuk menyimpan hasil search bisa menambahkan option >> [nama file], misalnya

grep -Rn "passthru *(" public_html/ >> hasil.txt

yang perlu di ingat pada saat kita ingin menyimpan hasil search kedalam sebuah file adalah pengguanaan tanda > dan >>, cukup simle memang tapi hasilnya jauh berbeda, jika menggunakn opsi > (hanya satu) maka grep akan menimpa isi dari hasil sebelumnya, atau grep akan menyimpan hasil search yang paling terakhir saja, sedangkan jika menggunaakan option >> (dua) maka grep akan menambahkan hasil search di bawah hasil sebelumnya dalam satu file, hasil dari grep inilah yang nanti kita analis untuk menemukan file-file jahat, karena hasil dari perintah grep ini berupa sedikit string yang di cari, seperti nama file dan pada line berapa string tersebut di temukan, berikut perintah grep yang bisa digunakan

grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/ >> hasil.txt

atau

grep -RPn "(passthru|shell_exec|system|phpinfo|base64_de code |chmod|mkdir|fopen|fclose|readfile) *\(" /home/*public_html/* >> hasil.txt

findstr di windows

berbeda dengan linux, di windows di namankan dengan findstr, jika kita bekerja dengan windows mungkin peritah-perintah berikut bisa digunakan untuk membantu kita dalam mencari file-file jahat yang terdapat dalam server kita

Baca juga:  Cara Install CSF Firewall pada CentOS 6

findstr /r /s /n /c:”passthru *(” *.*
atau untukmencari semua keyword yang bernilai false postive bisa menggunakan

findstr /r /s /n "passthru shell_exec system( phpinfo base64_decode chmod mkdir fopen fclose readfile" *.*

berikut hasil pencarian dengan linux

# more hasil.txt
public_html/wp-includes/backup.php:4418: @$passwd=fopen('/etc/passwd','r'); 
public_html/wp-includes/backup.php:4472: @$config=fopen($link,'r'); 
public_html/wp-includes/backup.php:4608: $fp = fopen($srcpath,"ab+"); 
public_html/wp-includes/backup.php:4620: fclose($fp); 
public_html/wp-includes/backup.php:4678: $fp = fopen($srcpath,"ab+");

contoh si abang ganteng 🙂

 

Semoga artikel cara Mencari Backdoor Pada VPS Server Anda ini dapat membantu anda dalam meningkatkan keamanan pada VPS server anda.

Jika anda membutuhkan Linux system administration, anda dapat menghubungi kami pada link ini

Write a Comment

Your email address will not be published.

20 + seventeen =

%d bloggers like this: