benerin server setelah di backdoor

black_nation

di sini server saya pake linux
cara pertama adalah install ulang
karena kita gk tau apa ajah yg di backdoor,bisa rootkit,daemon,bahkan lkm
(kl yg ini kayaknya cm heker kelas doang deh yg bisa :D)
ataupun php shell
pas reinstall server ada tahap pemilihan menu tekan Alt+F2
untuk mendapatkan shell,
mmount halaman HDD misal /dev/sda1 (SATA) Atau /dev/hda(IDE) ke /tmp/hda1.

contoh2 command2 linux:

#mkdir /tmp/hda1 (Membuat direktori)
#mount /dev/sda /tmpt/hda1 (Mount Direktori)
#cd /tmp/hda1 (Masuk ke dalam Direktori)
#mkdir .old (membuat direktory bernama .old)
#chmod 700 .old (Membuat permision atau hak akses file tersebuat)
#mv *.old (Memindahkan semua file ke dalam direktory .old)
#ls -al (Pastikan semua file yang ada di dalam folder .old)
#cd .. (Keluar)
#unmount /tmp/hda1 (Unmount Direktori)

nah,kl didalam server punya partisi backup,misal /dev/sdb1 sebaiknya melakukan
isolasi semua file file yang ada dalam sebuah direktori misal .old.

yg penting jangan sampai menghapus atau memformat hdd anda

kl udh reinstall sekarang coba kita amankan
cari file file setuid-root
(file ini kemungkinan besar merupakan backdoor yang
memungkinkan si hacker memperoleh root kembali)

#cd /root
#find ./old -type f -uid 0 -perm /u+s > setuid.txt
#find ./old -typr f -uid 0 -perm /g+s > setgid.txt

nah,pas udh dapet setuid.txt kita bisa menghapus atau mematikan
setuid bit pada file file yang terdaftar di setuid.txt tersebut
contoh:

#rm /.old/home/t10000/home/root

atau

#chmod 0 /.old/home/t10000/home/root

INGET!!!

cukup file setuid-root di dalam data user misal : /home/username yang perlu
kita waspadai untuk tidak tetap menjadi setuid-root saat kita pasang di luar .old nanti.
file .old/bin old/sbin dsb tidak akan kita gunakan karena kita sudah menginstall ulang OS.
lah kl ada nama yang aneh maka kita bisa melihat pola sang hacker yang memilih
file file yang merupakan file setuid-root

balikin data user

I. account unix (etc/passwd,etc/shadow,etc/group,etc/gshadow)
II. data user (home/username)
II. crontab user (/var/spoll/cron/crontabs/username)

yang begituan yg bakal kita restore

nah untuk etc/passwd;
#cd /.old/etc
#perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/passwd

untuk etc/shadow
# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/shadow

untuk etc/group

# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/group

untuk etc/gshadow

# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/gshadow

periksa lagi pake perintah "ls -l /.old/home/user" apakah semua file user uid
dan gid-nya telah terpetakan dengan benar ke /etc/passwd dan /etc/group
kl masih ada yg numerik berarti blom ada yg di mapping

buat restore data user cukup pindah kan selayaknya copy paste saja dari /.old/home/* ke /home/.

nah,kl buat restore crontab pindahkan file crontab milik user yang ada di ./old/var/spool/cron/crontabs/

langkah selanjutny coba reset passwd

#( cd /home: for u in *; do echo "$u: `makepasswd`"; done)> passwords.txt

#chpasswd -m <passwd.txt

maksud dari command diatas buat reset semua password user yang pake home di /home/username trus nge reset,atau pake program makepasswd dan chpasswd
atau ada applikasinya mungkin cpanel gt,juga bisa
memiliki fasilitas reset password massal dan bisa mengirimkan email dan lain lain silahkan gunakan di sini..

yang kayak gini bukan cara yg 100% perfect buat nangkal atau
benerin server yg abis di hack
tergantung hacker ny ajah kl doi lebih hebat buat covering track
simpleny sih gini ajah,nanti kita coba lebih lanjut lagi buat
tracing log haiker yg habis masuk ke serper kita

makasih

rey_cute

mantab nih dapat tambahan ilmu :jempol2:

buto_ijo

keren infonya nie, sebenernya diliad run pidnya saja, dari situ keliatan id pid beserta lokasi backdoornya, tinggal kill dan hapus backdoornya plus confignya diedit ulang dan pass rootnya diganti. kalo misal server kelamaan untuk instal ulang, kasian client yang menunggu untuk pengen mendapatkan akses.
BUT THIS NICE INFO...JOSSSS

D3miT_EvoLUtiOn

[quote]black_nation wrote:
di sini server saya pake linux
cara pertama adalah install ulang
karena kita gk tau apa ajah yg di backdoor,bisa rootkit,daemon,bahkan lkm
(kl yg ini kayaknya cm heker kelas doang deh yg bisa :D)
ataupun php shell
pas reinstall server ada tahap pemilihan menu tekan Alt+F2
untuk mendapatkan shell,
mmount halaman HDD misal /dev/sda1 (SATA) Atau /dev/hda(IDE) ke /tmp/hda1.

contoh2 command2 linux:

#mkdir /tmp/hda1 (Membuat direktori)
#mount /dev/sda /tmpt/hda1 (Mount Direktori)
#cd /tmp/hda1 (Masuk ke dalam Direktori)
#mkdir .old (membuat direktory bernama .old)
#chmod 700 .old (Membuat permision atau hak akses file tersebuat)
#mv *.old (Memindahkan semua file ke dalam direktory .old)
#ls -al (Pastikan semua file yang ada di dalam folder .old)
#cd .. (Keluar)
#unmount /tmp/hda1 (Unmount Direktori)

nah,kl didalam server punya partisi backup,misal /dev/sdb1 sebaiknya melakukan
isolasi semua file file yang ada dalam sebuah direktori misal .old.

yg penting jangan sampai menghapus atau memformat hdd anda

kl udh reinstall sekarang coba kita amankan
cari file file setuid-root
(file ini kemungkinan besar merupakan backdoor yang
memungkinkan si hacker memperoleh root kembali)

#cd /root
#find ./old -type f -uid 0 -perm /u+s > setuid.txt
#find ./old -typr f -uid 0 -perm /g+s > setgid.txt

nah,pas udh dapet setuid.txt kita bisa menghapus atau mematikan
setuid bit pada file file yang terdaftar di setuid.txt tersebut
contoh:

#rm /.old/home/t10000/home/root

atau

#chmod 0 /.old/home/t10000/home/root

INGET!!!

cukup file setuid-root di dalam data user misal : /home/username yang perlu
kita waspadai untuk tidak tetap menjadi setuid-root saat kita pasang di luar .old nanti.
file .old/bin old/sbin dsb tidak akan kita gunakan karena kita sudah menginstall ulang OS.
lah kl ada nama yang aneh maka kita bisa melihat pola sang hacker yang memilih
file file yang merupakan file setuid-root

balikin data user

I. account unix (etc/passwd,etc/shadow,etc/group,etc/gshadow)
II. data user (home/username)
II. crontab user (/var/spoll/cron/crontabs/username)

yang begituan yg bakal kita restore

nah untuk etc/passwd;
#cd /.old/etc
#perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/passwd

untuk etc/shadow
# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/shadow

untuk etc/group

# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/group

untuk etc/gshadow

# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/gshadow

periksa lagi pake perintah "ls -l /.old/home/user" apakah semua file user uid
dan gid-nya telah terpetakan dengan benar ke /etc/passwd dan /etc/group
kl masih ada yg numerik berarti blom ada yg di mapping

buat restore data user cukup pindah kan selayaknya copy paste saja dari /.old/home/* ke /home/.

nah,kl buat restore crontab pindahkan file crontab milik user yang ada di ./old/var/spool/cron/crontabs/

langkah selanjutny coba reset passwd

#( cd /home: for u in *; do echo "$u: `makepasswd`"; done)> passwords.txt

#chpasswd -m <passwd.txt

maksud dari command diatas buat reset semua password user yang pake home di /home/username trus nge reset,atau pake program makepasswd dan chpasswd
atau ada applikasinya mungkin cpanel gt,juga bisa
memiliki fasilitas reset password massal dan bisa mengirimkan email dan lain lain silahkan gunakan di sini..

yang kayak gini bukan cara yg 100% perfect buat nangkal atau
benerin server yg abis di hack
tergantung hacker ny ajah kl doi lebih hebat buat covering track
simpleny sih gini ajah,nanti kita coba lebih lanjut lagi buat
tracing log haiker yg habis masuk ke serper kita

makasih[/quote]

mungkin kalo vps dengan akses beberapa web gada masalah, cman jika server web base maka ga mungkin akan melakukan insta ulang server ? betapa ribetnya backup hingga ratusan web ?
jika dalam hal ini install ulang tidak memungkinkan, kita bisa menangkal nya dengan menggunakan metode mod_sec jika suport dengan cpanel.net
atau bisa juga melakukan pencarian pada "target tersebut" dan menambahkan id kedalam mod_sec ato mengunci folder atau bisa juga dilakukan fixing pada web tersebut (update core, tergantung cms yang digunakan).

semoga membantu :jempol1:
nice thread :jempol2:

snk

mantab suhu

D3miT_EvoLUtiOn

[quote]snk wrote:
mantab suhu[/quote]

ampon suhu j1nx :takut:

satpam

yang penting back up nya aman :jempol2:

Budha

betul juga, habis kena deface/hack harus wajib di ulas tuntas server nya
keamanan itu penting, tapi kembali lagi ke klien nya, kadang ada yang ceroboh :maho:

D3miT_EvoLUtiOn

yang penting ga pake script/theme nulled
kadang yang versi berbayar juga kenak deface/hack

so ga ada yang salah, dimanapun pasti ada celah dan ada penutup nya
:jempol2:

Brian Kamikaze

Mantappppppppppppppppppppp :D

D3miT_EvoLUtiOn

[quote]buto_ijo wrote:
keren infonya nie, sebenernya diliad run pidnya saja, dari situ keliatan id pid beserta lokasi backdoornya, tinggal kill dan hapus backdoornya plus confignya diedit ulang dan pass rootnya diganti. kalo misal server kelamaan untuk instal ulang, kasian client yang menunggu untuk pengen mendapatkan akses.
BUT THIS NICE INFO...JOSSSS[/quote]

betul juga, emang dari pid terkadang bisa membantu hanya saja saat waktu itu sudah terlambat karena load server sudah megap-megap, cara satu cara yang bagus adalah menggunakan 3rd party berikut :

- CSF (buat nangkal yang demen nge brute)
- Mod Sec (buat nge rules user beserta isi fungsi scripts nya)

Jabrud

Maap Untuk agan-agan sekiranya Perbanyak lagi tutorial untuk linux, karena kebetulan para anak didik saya, saya wajibkan untuk belajar linux agar tidak terjadi PEMBODOHAN MASSAL oleh Windows dan kebetulan juga aku mau bikin forum linux Indramayu, Maaf dan Punteeen pisan:maho:

darkcyber

wah kita ada master serper linux ganz... nick D3miT_Ev0Lut10n :D