Kali ini saya akan membahas mengenai issue virus trojan dimana virus tersebut melakukan DDOS keluar network sehingga menyebabkan bandwidth network keluar nya menjadi sangat tinggi, serta menyebakan high cpu. Kalau di cek dengan perintah top, akan terlihat nama service yang aneh, biasanya terdiri dari 10 karakter acak, seperti berikut ini.
Jika terdapat service aneh tersebut, bisa dipastikan server yang dikelola terkena virus trojan untuk melakukan DDOS. Virus trojan ini biasanya menyerang sistem operasi yang tidak up to date, penggunaan password root yang mudah ditebak.
Berikut ini langkah-langkah yang bisa dilakukan untuk mengatasi virus trojan tersebut :
1. Ubah dahulu password root yang digunakan menjadi lebih strong, bisa dengan perintah passwd root
2. Jalankan perintah top, dan cek proses service trojan yang aneh tersebut, catat ID nya kemudian kill proses tersebut dengan perintah kill -9 pidnya
3. Cek file crontab hourly, biasanya jika sudah terkena, maka akan terdapat file gcc.sh atau cron.sh didalam folder crontab hourly tersebut. Kebetulan saya hanya menemukan file gcc.sh saja.
ls -ltrh /etc/cron.hourly/
Kalau dilihat isi file gcc.sh tersebut, kira-kira isinya seperti ini, pada bagian file /lib/libudev.so, terkadang dia menggunakan nama /lib/libgcc.so
cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH = /bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in cat /proc/net/dev | grep: | awk -F: {'print $ 1'}; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
4. Hapus file gcc.sh tersebut
rm -rvf /etc/cron.hourly/gcc.sh
5. Buka file /etc/crontab, dibaris paling bawah terdapat crontab yang berjalan setiap 3 menit untuk menjalankan file gcc.sh yang tadi, contohnya seperti berikut.
Silakan hapus baris crontab yang ditandai merah, kemudian save file /etc/crontab tersebut.
6. Selanjutnya ubah permission menjadi disable pada crontab hourly dan /etc/crontab sementara agar tidak direwrite kembali oleh virus tersebut.
chmod 000 /etc/cron.hourly/; chattr +ia /etc/cron.hourly/; chattr + i /etc/crontab
7. Hapus juga file libudev.so pada directory /lib, file ini digunakan oleh virus untuk melakukan DDOS.
chmod 000 /lib/libudev.so && rm -rvf /lib/libudev.so
8. Selanjutnya cek directory /etc/rc1.d hingga /etc/rc6.d, didalam directory tersebut terdapat file bernama S90xxxxxxx, untuk xxxxx tersebut biasanya nama service yang aneh yang terdiri dari 10 karakter, yang terindikasi sebagai virus, itu silakan dihapus juga.
Jangan lupa cek juga pada directory-directory berikut ini : /usr/bin, /usr/sbin, /bin, /sbin apakah terdapat file-file aneh seperti nama service virus diatas, jika ada, silakan dihapus juga.
9. Setelah bersih semua, terakhir cek kembali proses linuxnya dengan perintah top, pastikan sudah tidak ada lagi service-service aneh yang menggunakan resources tinggi.
Langkah terakhir yaitu lakukan update sistem operasi
apt-get update && apt-get upgrade && apt-get dist-upgrade -y
Setelah proses update selesai, silakan reboot servernya dengan perintah reboot.
Langkah-langkah diatas sudah saya lakukan di beberapa server yang sempat terkena virus tersebut dan Alhamdulillah berhasil. Jika dari teman-teman ada yang ingin menambahkan langkah-langkah yang lebih efektif, bisa tulis di komentar ya 🙂
Mungkin cukup sekian, semoga bermanfaat
Rizky Pratama. Tinggal di Bekasi, Jawa Barat. Seorang IT di salah satu perusahaan IT. Pengguna Mac, Linux dan Windows
Selain sebagai penulis di blog ini, saya juga penulis di blog saya yang lain, yaitu https://pratama.biz.id