Pengantar
Malware, adalah sebuah software yang berjalan pada sistem kamu secara ilegal dan menyebabkan dampak buruk terhadap kinerja sistem kamu.
Bill gate, adalah sebuah malware yang dirancang untuk menargetkan pengguna linux. Malware ini berupa Botnet sehingga sebagian besar digunakan untuk tujuan DDoS.
Ciri-Ciri
A. Mengidentifikasi BillGates artefacts
Indicator | Notes |
---|---|
/etc/cmd.n | |
/etc/conf.n | |
/etc/init.d/DbSecuritySpt | |
/etc/init.d/selinux | |
/etc/rcX.d/97DbSecuritySpt | Dimana X adalah angka, biasanya symlinks/mengarah ke /etc/init.d/DbSecuritySpt |
/home/ll2 | Identifikasi semua file dengan nama yang random di /home/ |
/tmp/.bash_root.tmp3 | |
/tmp/.bash_root.tmp3h | |
/tmp/bill.lock | Identifikasi semua file .lock di /tmp/ |
/tmp/bill.lod | Berisi Process ID (PID) modul utama malware |
/tmp/gates.lod (or gates.lock) | Berisi Process ID (PID) modul utama malware |
/tmp/moni.lod (or moni.lock) | Berisi PID dari malware 'watchdog' |
/tmp/notify.file | |
/usr/bin/*.lock | Identifikasi semua file .lock di /tmp/ |
/usr/bin/bsd-port/.sshd | |
/usr/bin/bsd-port/*.lock | |
/usr/bin/bsd-port/getty | |
/usr/bin/bsd-port/getty/*.lock | Identifikasi semua file .lock di /usr/bin/bsd-port/getty/ |
/usr/bin/pojie | Identifikasi semua file dengan nama yang random di /usr/bin/ |
/usr/lib/libamplify.so | Configuration file |
B. Identifikasi BillGates DDoS modules
Cek /etc/ kamu, biasanya modul DDoS BillGates tersimpan di sana dengan nama-nama berikut:
- Atddd
- Cupsdd
- Cupsddh
- ksapdd
- Kysapdd
- Sksapdd
- skysapdd
C. Mengidentifikasi modifikasi lainnya yang dibuat oleh BillGates.
BillGates membuat file tiruan atau memodifikasi file yang biasanya digunakan untuk memantau proses atau jaringan. Berikut ini nama-nama yang mungkin diganti:
- /bin/lsof
- /bin/netstat
- /bin/ps
- /bin/ss
- /usr/bin/lsof
- /usr/bin/netstat
- /usr/bin/ps
- /usr/bin/ss
- /usr/sbin/lsof
- /usr/sbin/netstat
- /usr/sbin/ps
- /usr/sbin/ss
Salinan file yang sah biasanya disimpan di:
/usr/bin/dpkgd/Selain itu, periksa pekerjaan yang berpotensi dibuat dengan melihat di:
/etc/cron.Xdimana X adalah rentang waktu atau nama folder, contohnya:
/etc/cron.daily.Periksa juga pada bagian:
/var/spool/cron/Penanganan
Langkah 1, Lakukan pengecekan proses yang berjalan
Identifikasi proses yang aneh dan memakan resource menggunakan top dengan perintah ini:
root@root:/# topLangkah 2, Hapus proses yang berjalan
Gunakan kill untuk mengakhiri proses berbahaya dan menghapus artefak dengan perintah ini:
root@root:/# kill -9 [PID]Ganti file yang berpotensi dibajak dan pulihkan ke lokasi aslinya, menggunakan perintah mv:
mv [OPTIONS] sumber tujuanLangkah 3, Validasi malware tidak berjalan kembali
Setelah proses kill service dilakukan, maka tunggu kurang lebih 1 menit dan pastikan lagi bahwa proses tidak muncul kembali.
Jalankan top lagi untuk memverifikasi tidak ada proses berbahaya yang tersisa
root@root:/# topLangkah 4, Lakukan scanning menggunakan anti virus atau anti malware
Kamu bisa menggunakan antivirus clamav untuk melakukan scanning pada seluruh sistem kamu.
Langkah 5, Tingkatkan keamanan server kamu
Rubah seluruh password dan update seluruh credential yang ada di server kamu. Karena bisa jadi salah satu penyebabnya adalah kata sandi yang yang digunakan terlalu lemah, oleh karena itu ubahlah kata sandi mu dengan menggunakan kombinasi dengan tingkat kesulitan yang tinggi
Penutup
Semoga panduan ini bisa membantu masalah kamu ya sob. Pada case ini yang menjadi penyebab utama adalah keamanan sistem mu yang lemah sehingga mudah dimasuki oleh malware. Maka dari itu kamu harus selalu melakukan update credentials secara berkala dan jika perlu melakukan installasi antivirus (jika dibutuhkan).