Mitigasi host yang menjadi bot

awalnya saya hanya melakukan rutinitas pengecekan firewall di kantor yang saya tangani.

dari hasil monitoring, ada lalu lintas yang tidak wajar dari salah satu host. kemudian saya mencoba mencari tau lebih jauh.

aktifitas tidak wajar

aktifitas tidak wajar

dari gambar diatas, dapat diketahui bahwa host tersebut berasal dari farmserver, dimana aktifitas outgoing yang tidak normal menuju port tertentu.

mitigasi selanjutnya saya remote SSH server tersebut. hal pertama yang saya cek adalah konsumsi resource

resource penuh

resource penuh

selain resource penuh, ada proses yang tidak wajar berjalan pada server, saya mitigasi lebih jauh terkait proses tersebut dengan melihat lebih rinci dengan perintah :

ps aux | grep netsnd

proses tidak wajar

proses tidak wajar

hasilnya adalah gambar diatas.  ada proses yang menjalankan file tttt yang targetnya random. oke, disini sudah jelas kalau memang aneh. saya lanjutkan migitasinya dengan mencari keberadaan file tttt dan kemudian membaca isi file tersebut,

letak file tttt dan rekan2 nya

letak file tttt dan rekan2 nya

dari hasil pencarian, menemukan letak file tersebut, kemudian saya membaca isi dari file tersebut dan file-file lainnya.

menjalankan nmap

menjalankan nmap

dari sana dapat dibaca, bahwasannya, proses yang tidak wajar tersebut adalah menjalankan perintah nmap pada host random di internet.

proses tersebut akan memakan resource, baik CPU, RAM dan Network.

darisana sudah bisa disimpulkan, bahwa server tersebut sudah menjadi ROBOT yang dikendalikan oleh orang lain diluar sana untuk proses-proses yang dia inginkan.

oiya, selain menjalankan perintah nmap, rupanya server tersebut juga digunakan untuk mining

miner

miner

siapa pelakunya ? bagaimana cara masuknya ? 

diperlukan mitigasi lebih dalam untuk mengetahui pelakunya, sementara ini, server tersebut saya karantina agar tidak berproses sementara waktu, dengan demikian, aplikasi diserver tersebut juga tidak dapat diakses sampai dengan waktu yang belum ditentukan.

terima kasih telah mau membaca. :*

Bagikan saja, itu tidak berat

Mengatasi masalah mailer LPSE

masalah ini pertama muncul saat saya mendapat laporan dari UKPBJ bahwasannya penyedia tidak mendapatkan balasan email, baik pendaftaran maupun reset password

hal yang saya lakukan adalah login ke server, memastikan koneksi ke mailer lkpp terkoneksi, setelah saya cek, rupanya tidak terkoneksi mailernya dari server lpse ke server lkpp.

status connect, tapi tidak respon

status connect, tapi tidak respon

pengujian dengan mengetikkan perintah

telnet mail.lpse.lkpp.go.id 465

kemudian, saya doble check dengan telnet dari laptop local saya. hasilnya

nah ini yang benar

nah ini yang benar

rupanya error terjadi karena server mail lpse lkpp IP nya berubah. cara perbaikan di server lpse nya adalah dengan melakukan edit file hosts, dengan perintah

nano /etc/hosts

sesuaikan seperti ini

sesuaikan seperti ini

jika sudah, jangan lupa save, kemudian lakukan perintah pengujian telnet seperti diatas

telnet mail.lpse.lkpp.go.id 465

dan pastikan, responnya sudah seperti gambar dibawah ini :

nah ini yang benar

nah ini yang benar

jika sudah seperti gambar tsb, berarti sudah berhasil di perbaiki dan silahkan di coba dengan mendaftarkan penyedia,

SARAN : gunakanlah mailer sendiri, karena mialer LKPP saya lihat sudah ngos ngosan.

 

terima kasih.

 

Bagikan saja, itu tidak berat