Linux

Mengatasi DDOS Virus Trojan (As a Unix Service) pada Ubuntu

Kali ini saya akan membahas mengenai issue virus trojan dimana virus tersebut melakukan DDOS keluar network sehingga menyebabkan bandwidth network keluar nya menjadi sangat tinggi, serta menyebakan high cpu. Kalau di cek dengan perintah top, akan terlihat nama service yang aneh, biasanya terdiri dari 10 karakter acak, seperti berikut ini

Jika terdapat service aneh tersebut, bisa dipastikan server yang dikelola terkena virus trojan untuk melakukan DDOS. Virus trojan ini biasanya menyerang sistem operasi yang tidak up to date, penggunaan password root yang mudah ditebak.

Berikut ini langkah-langkah yang bisa dilakukan untuk mengatasi virus trojan tersebut :

1. Ubah dahulu password root yang digunakan menjadi lebih strong, bisa dengan perintah passwd root

2. Jalankan perintah top, dan cek proses service trojan yang aneh tersebut, catat ID nya kemudian kill proses tersebut dengan perintah kill -9 pidnya

3. Cek file crontab hourly, biasanya jika sudah terkena, maka akan terdapat file gcc.sh atau cron.sh didalam folder crontab hourly tersebut. Kebetulan saya hanya menemukan file gcc.sh saja.

ls -ltrh /etc/cron.hourly/

Kalau dilihat isi file gcc.sh tersebut, kira-kira isinya seperti ini, pada bagian file /lib/libudev.so, terkadang dia menggunakan nama /lib/libgcc.so

cat /etc/cron.hourly/gcc.sh

#!/bin/sh
PATH = /bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in cat /proc/net/dev | grep: | awk -F: {'print $ 1'}; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

4. Hapus file gcc.sh tersebut

rm -rvf /etc/cron.hourly/gcc.sh

5. Buka file /etc/crontab, dibaris paling bawah terdapat crontab yang berjalan setiap 3 menit untuk menjalankan file gcc.sh yang tadi, contohnya seperti berikut.

Silakan hapus baris crontab yang ditandai merah, kemudian save file /etc/crontab tersebut.

6. Selanjutnya ubah permission menjadi disable pada crontab hourly dan /etc/crontab agar tidak direwrite kembali oleh virus tersebut.

chmod 0 /etc/cron.hourly/; chattr +ia /etc/cron.hourly/; chattr + i /etc/crontab

7. Hapus juga file libudev.so pada directory /lib, file ini digunakan oleh virus untuk melakukan DDOS.

chmod 0 /lib/libudev.so && rm -rvf /lib/libudev.so

8. Selanjutnya cek directory /etc/rc1.d hingga /etc/rc6.d, didalam directory tersebut terdapat file bernama S90xxxxxxx, untuk xxxxx tersebut biasanya nama service yang aneh yang terdiri dari 10 karakter, yang terindikasi sebagai virus, itu silakan dihapus juga.

Jangan lupa cek juga pada directory-directory berikut ini : /usr/bin, /usr/sbin, /bin, /sbin apakah terdapat file-file aneh seperti nama service virus diatas, jika ada, silakan dihapus juga.

9. Setelah bersih semua, terakhir cek kembali proses linuxnya dengan perintah top, pastikan sudah tidak ada lagi service-service aneh yang menggunakan resources tinggi.

Langkah terakhir yaitu lakukan update sistem operasi

apt-get update && apt-get upgrade && apt-get dist-upgrade -y

Setelah proses update selesai, silakan reboot servernya dengan perintah reboot.

Langkah-langkah diatas sudah saya lakukan di beberapa server yang sempat terkena virus tersebut dan Alhamdulillah berhasil. Jika dari teman-teman ada yang ingin menambahkan langkah-langkah yang lebih efektif, bisa tulis di komentar ya 🙂

Mungkin cukup sekian, semoga bermanfaat

Share
Published by
Rizky Pratama

Recent Posts

Cara Ubah Port SSH pada Ubuntu 24.04 LTS

Pada bulan April 2024 lalu, Ubuntu telah release versi terbaru yaitu Ubuntu 24.04 LTS, sehingga…

1 month ago

Membuat Command Alias Dengan Parameter pada .zprofile Mac OS

Ngga nyangka akhirnya saya bisa login kembali ke blog saya yang sudah berdebu ini, kali…

4 months ago

Tips Zimbra : Mengatasi Service Cbpolicyd Starting Failed Setelah Migrasi ke Rocky Linux 8

Beberapa waktu lalu, Excellent mendapatkan project migrasi Zimbra dari versi Open Source Ke Zimbra Network…

8 months ago

Mengatasi Error “no matching host key type found. Their offer: ssh-rsa,ssh-dss” Setelah Upgrade MacOS Ventura Saat Melakukan SSH

Bulan Oktober 2022 lalu, Apple resmi release MacOS terbaru mereka, yaitu MacOS Ventura. Beberapa fitur…

2 years ago

Cara Memindahkan Saham ke Sekuritas Lain

Tidak terasa sudah cukup lama saya tidak update tulisan pada blog ini lagi, akhirnya kali…

3 years ago

Tahun Baru, Markas Baru, Tulisan Baru

Tahun baru 2022 telah tiba, tidak terasa waktu berjalan begitu cepat, banyak cerita dan kenangan…

3 years ago