Cara Mengatasi Malware Getty/BillGate

Sultan Geraldo
Follow me on

Pengantar

Malware, adalah sebuah software yang berjalan pada sistem kamu secara ilegal dan menyebabkan dampak buruk terhadap kinerja sistem kamu.

Bill gate, adalah sebuah malware yang dirancang untuk menargetkan pengguna linux. Malware ini berupa Botnet sehingga sebagian besar digunakan untuk tujuan DDoS.

Ciri-Ciri

A. Mengidentifikasi BillGates artefacts

Indicator Notes
/etc/cmd.n
/etc/conf.n
/etc/init.d/DbSecuritySpt
/etc/init.d/selinux
/etc/rcX.d/97DbSecuritySptDimana X adalah angka, biasanya symlinks/mengarah ke /etc/init.d/DbSecuritySpt
/home/ll2Identifikasi semua file dengan nama yang random di /home/
/tmp/.bash_root.tmp3
/tmp/.bash_root.tmp3h
/tmp/bill.lockIdentifikasi semua file .lock di  /tmp/
/tmp/bill.lodBerisi Process ID (PID) modul utama malware
/tmp/gates.lod
(or gates.lock)
Berisi Process ID (PID) modul utama malware
/tmp/moni.lod
(or moni.lock)

Berisi PID dari malware 'watchdog'
/tmp/notify.file
/usr/bin/*.lockIdentifikasi semua file .lock di  /tmp/
/usr/bin/bsd-port/.sshd
/usr/bin/bsd-port/*.lock
/usr/bin/bsd-port/getty
/usr/bin/bsd-port/getty/*.lockIdentifikasi semua file .lock di /usr/bin/bsd-port/getty/
/usr/bin/pojieIdentifikasi semua file dengan nama yang random di /usr/bin/
/usr/lib/libamplify.soConfiguration file

B. Identifikasi BillGates DDoS modules

Cek /etc/ kamu, biasanya modul DDoS BillGates tersimpan di sana dengan nama-nama berikut:

  • Atddd
  • Cupsdd
  • Cupsddh
  • ksapdd
  • Kysapdd
  • Sksapdd
  • skysapdd

Namun kamu juga bisa menggunakan perintah find untuk mencari nama-nama tersebut jika berada di lokasi selain /etc/

C. Mengidentifikasi modifikasi lainnya yang dibuat oleh BillGates.

BillGates membuat file tiruan atau memodifikasi file yang biasanya digunakan untuk memantau proses atau jaringan. Berikut ini nama-nama yang mungkin diganti:

  • /bin/lsof
  • /bin/netstat
  • /bin/ps
  • /bin/ss
  • /usr/bin/lsof
  • /usr/bin/netstat
  • /usr/bin/ps
  • /usr/bin/ss
  • /usr/sbin/lsof
  • /usr/sbin/netstat
  • /usr/sbin/ps
  • /usr/sbin/ss

Salinan file yang sah biasanya disimpan di:

/usr/bin/dpkgd/

Selain itu, periksa pekerjaan yang berpotensi dibuat dengan melihat di:

/etc/cron.X 

dimana X adalah rentang waktu atau nama folder, contohnya:

/etc/cron.daily.

Periksa juga pada bagian:

/var/spool/cron/

Penanganan

Langkah 1, Lakukan pengecekan proses yang berjalan 

Identifikasi proses yang aneh dan memakan resource menggunakan top dengan perintah ini:

root@root:/# top

Langkah 2, Hapus proses yang berjalan 

Gunakan kill untuk mengakhiri proses berbahaya dan menghapus artefak dengan perintah ini:

root@root:/# kill -9 [PID] 

Ganti file yang berpotensi dibajak dan pulihkan ke lokasi aslinya, menggunakan perintah mv:

mv [OPTIONS] sumber tujuan

Langkah 3, Validasi malware tidak berjalan kembali 

Setelah proses kill service dilakukan, maka tunggu kurang lebih 1 menit dan pastikan lagi bahwa proses tidak muncul kembali.

Jalankan top lagi untuk memverifikasi tidak ada proses berbahaya yang tersisa

root@root:/# top

Langkah 4, Lakukan scanning menggunakan anti virus atau anti malware 

Kamu bisa menggunakan antivirus clamav untuk melakukan scanning pada seluruh sistem kamu.

Langkah 5, Tingkatkan keamanan server kamu

Rubah seluruh password dan update seluruh credential yang ada di server kamu. Karena bisa jadi salah satu penyebabnya adalah kata sandi yang yang digunakan terlalu lemah, oleh karena itu ubahlah kata sandi mu dengan menggunakan kombinasi dengan tingkat kesulitan yang tinggi

Penutup

Semoga panduan ini bisa membantu masalah kamu ya sob. Pada case ini yang menjadi penyebab utama adalah keamanan sistem mu yang lemah sehingga mudah dimasuki oleh malware. Maka dari itu kamu harus selalu melakukan update credentials secara berkala dan jika perlu melakukan installasi antivirus (jika dibutuhkan).

Apakah artikel ini membantu, Sob?

Berikan rating buat artikel ini!

Rata-rata rating 0 / 5. Dari total vote 0

Pertamax, Sob! Jadilah pertama yang memberi vote artikel ini!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Related Posts
Cara Open Tiket di Jagoan Hosting

  Hai Sobat Jagoan! Jikalau sobat sudah menjadi member dari JagoanHosting dan kemudian mendapatkan kesulitan dalam beberapa segi teknisnya, maka Read more

Tutorial Melakukan Pengecekan History Transaksi PTS

PTS adalah sistem yang ada pada layanan revoluzio yang memungkinkan pelanggan untuk dapat menggunakan layanan Revoluzio seperti VPS Devops. Sistem kerja dari PTS sendiri adalah seperti pulsa / token PLN. Dimana Saldo PTS tersebut akan terpotong secara harian dengan besaran potongannya mengikuti besaran resource yang digunakan pada layanan Read more

Tutorial Ubah File Permission Pada Cpanel

Hai Sob, Apakah sobat mencari cara untuk mengubah file permission pada cPanel? Berikut merupakan penjelasan dan cara melakukan perubahan file Read more

Tutorial Membuat Script Koneksi Databases Menggunakan pdo_mysql dan mysqli

  Pada tutorial kali ini akan membahas pembuatan script untuk membuat script koneksi ke database dengan menggunakan pdo_mysql dan mysqli, Read more