Pengantar
Malware, adalah sebuah software yang berjalan pada sistem kamu secara ilegal dan menyebabkan dampak buruk terhadap kinerja sistem kamu.
TSM adalah sebuah malware yang melakukan penyerangan SSH ke server lain.
Ciri-Ciri
Ketika server di cek menggunakan TOP, ada proses mencurigakan seperti ini tsm
Penanganan
Langkah 1, Lakukan Pengecekan lebih detail
Untuk melakukan pengecekan secara detail, kamu bisa menggunakan cara ini:
root@vps1:/# lsof -p 12160 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME tsm 12160 ftpuser cwd DIR 182,622001 4096 397547 /tmp/.X25-unix/.rsync/c tsm 12160 ftpuser rtd DIR 182,622001 4096 2 / tsm 12160 ftpuser txt REG 182,622001 162632 397552 /tmp/.X25-unix/.rsync/c/lib/64/tsm tsm 12160 ftpuser mem REG 182,622001 3150056 397574 /tmp/.X25-unix/.rsync/c/tsm64 tsm 12160 ftpuser mem REG 182,622001 101200 397553 /tmp/.X25-unix/.rsync/c/lib/64/libresolv.so.2 tsm 12160 ftpuser mem REG 182,622001 27000 397555 /tmp/.X25-unix/.rsync/c/lib/64/libnss_dns.so.2 tsm 12160 ftpuser mem REG 182,622001 47600 397554 /tmp/.X25-unix/.rsync/c/lib/64/libnss_files.so.2 tsm 12160 ftpuser mem REG 182,622001 97176 2365 /lib/x86_64-linux-gnu/libnsl-2.27.so tsm 12160 ftpuser mem REG 182,622001 47576 6456 /lib/x86_64-linux-gnu/libnss_nis-2.27.so tsm 12160 ftpuser mem REG 182,622001 39744 2366 /lib/x86_64-linux-gnu/libnss_compat-2.27.so tsm 12160 ftpuser mem REG 182,622001 1868984 397550 /tmp/.X25-unix/.rsync/c/lib/64/libc.so.6 tsm 12160 ftpuser mem REG 182,622001 14608 397557 /tmp/.X25-unix/.rsync/c/lib/64/libdl.so.2 tsm 12160 ftpuser mem REG 182,622001 138696 397551 /tmp/.X25-unix/.rsync/c/lib/64/libpthread.so.0 tsm 12160 ftpuser 0r CHR 1,3 0t0 2508667555 /dev/null tsm 12160 ftpuser 1w CHR 1,3 0t0 2508667555 /dev/null tsm 12160 ftpuser 2w REG 182,622001 3235 397585 /tmp/.X25-unix/.rsync/1 tsm 12160 ftpuser 3r REG 182,622001 1763908 397599 /tmp/.X25-unix/.rsync/c/ip tsm 12160 ftpuser 4u IPv4 2516306366 0t0 TCP vps1.linas-media.com:50588->104.219.42.128:ssh (ESTABLISHED) tsm 12160 ftpuser 5u IPv4 2516306208 0t0 TCP vps1.linas-media.com:39498->188-130-25-240.phpnet.fr:ssh (ESTABLISHED) tsm 12160 ftpuser 6u IPv4 2516306180 0t0 TCP vps1.linas-media.com:34482->unassigned.quadranet.com:ssh (SYN_SENT) tsm 12160 ftpuser 7u IPv4 2516306227 0t0 TCP vps1.linas-media.com:34604->155.ip-54-37-64.eu:ssh (ESTABLISHED) tsm 12160 ftpuser 8u IPv4 2516294269 0t0 TCP vps1.linas-media.com:54194->123.181.151.127:ssh (SYN_SENT)
Dari log di atas dapat dilihat jika user ftpuser disalahgunakan
Langkah 2, Penghapusan Malware
Lakukan penghapusan semua proses malware dari user ftpuser dengan menggunakan command ini :
root@vps1:/# pkill -KILL -u ftpuser
Setelah itu, lakukan penghapusan user bernama ftpuser dengan menggunakan command ini:
root@vps1:/# deluser ftpuser
Langkah 3, Validasi Malware tidak berjalan kembali
Pastikan kembali bahwa proses tsm sudah tidak muncul dengan melakukan cek TOP
Langkah 4, Kemungkinan Penyebab
User bernama ftpuser telah dihack, kemungkinan karena password user yang digunakan terlalu mudah dan berhasil dibobol hacker.
Solusinya adalah gunakan user dan password yang sulit ditebak, minimal kombinasi password terdiri dari 8 digit berupa angka, huruf, dan simbol.
Penutup
Gimana sob, semoga bisa membantu masalah kamu. Pada case ini yang menjadi penyebab utama adalah celah pada salah satu software. Maka dari itu kamu harus memastikan sistem kamu menggunakan password dengan tingkat kesulitan yang tinggi.