artikel ini akan membahas bagaimana Mencari Backdoor Pada VPS Server Anda, kejadian ini barusan terjadi sewaktu masuk kerja sudah dapat tugas dari atasan untuk menganalisis sebuah server.
Kendalanya ini server melakukan dDos ke suatu kampus ternama (sebut saja namanya bunga, 17 tahun, bukan nama sebenarnya -red)
Apa yang mau saya bahas dengan judul tulisan saya kali ini? ketika saya mendapat tugas ini, rasanya wah! tantangan nih
Disini saya mengajak rekan-rekan pembaca bagaimana menemukan file yang di curigai setelah terjadi serangan (got hacked)
Sebelum kita memulai mencari file-file tersebut, kita pahami dulu karakter dari file-file yang di curigai tersebut, biasanya dan pastinya file-file tersebut menggunakan beberapa perintah yang umum digunakan yang katanya “hacker” tersebut. kita dapat menyimpulkan perintah tersebut seperti di bawah ini
passthru shell_exec system phpinfo base64_decode chmod mkdir fopen fclose readfile
jika harus menelusuri per-filenya sangatlah tidak mungkin, disini kita bisa mencoba menggunakan salah satu utiliti yang ada pada sistem operasi linux (grep) dan windows (findstr), dengan menggunakan grep maupun findstr kita tidak harus menelusuri file demi file, kita cukup menunggu hasilnya dan melakukan analisis file mana saja yang mungkin menjadi file-file jahat
Mencari Backdoor Pada VPS Server Anda
grep -Rn "passthru *(" public_html/
baris perintah diatas akan mencari semua string yang mengandung kata passtrhu, pada folder public_html untuk menyimpan hasil search bisa menambahkan option >> [nama file], misalnya
grep -Rn "passthru *(" public_html/ >> hasil.txt
yang perlu di ingat pada saat kita ingin menyimpan hasil search kedalam sebuah file adalah pengguanaan tanda > dan >>, cukup simle memang tapi hasilnya jauh berbeda, jika menggunakn opsi > (hanya satu) maka grep akan menimpa isi dari hasil sebelumnya, atau grep akan menyimpan hasil search yang paling terakhir saja, sedangkan jika menggunaakan option >> (dua) maka grep akan menambahkan hasil search di bawah hasil sebelumnya dalam satu file, hasil dari grep inilah yang nanti kita analis untuk menemukan file-file jahat, karena hasil dari perintah grep ini berupa sedikit string yang di cari, seperti nama file dan pada line berapa string tersebut di temukan, berikut perintah grep yang bisa digunakan
grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/ >> hasil.txt
atau
grep -RPn "(passthru|shell_exec|system|phpinfo|base64_de code |chmod|mkdir|fopen|fclose|readfile) *\(" /home/*public_html/* >> hasil.txt
findstr di windows
berbeda dengan linux, di windows di namankan dengan findstr, jika kita bekerja dengan windows mungkin peritah-perintah berikut bisa digunakan untuk membantu kita dalam mencari file-file jahat yang terdapat dalam server kita
findstr /r /s /n /c:”passthru *(” *.*
atau untukmencari semua keyword yang bernilai false postive bisa menggunakan
findstr /r /s /n "passthru shell_exec system( phpinfo base64_decode chmod mkdir fopen fclose readfile" *.*
berikut hasil pencarian dengan linux
# more hasil.txt
public_html/wp-includes/backup.php:4418: @$passwd=fopen('/etc/passwd','r'); public_html/wp-includes/backup.php:4472: @$config=fopen($link,'r'); public_html/wp-includes/backup.php:4608: $fp = fopen($srcpath,"ab+"); public_html/wp-includes/backup.php:4620: fclose($fp); public_html/wp-includes/backup.php:4678: $fp = fopen($srcpath,"ab+");
contoh si abang ganteng 🙂
Semoga artikel cara Mencari Backdoor Pada VPS Server Anda ini dapat membantu anda dalam meningkatkan keamanan pada VPS server anda.
Jika anda membutuhkan Linux system administration, anda dapat menghubungi kami pada link ini