awalnya saya hanya melakukan rutinitas pengecekan firewall di kantor yang saya tangani.
dari hasil monitoring, ada lalu lintas yang tidak wajar dari salah satu host. kemudian saya mencoba mencari tau lebih jauh.
dari gambar diatas, dapat diketahui bahwa host tersebut berasal dari farmserver, dimana aktifitas outgoing yang tidak normal menuju port tertentu.
mitigasi selanjutnya saya remote SSH server tersebut. hal pertama yang saya cek adalah konsumsi resource
selain resource penuh, ada proses yang tidak wajar berjalan pada server, saya mitigasi lebih jauh terkait proses tersebut dengan melihat lebih rinci dengan perintah :
ps aux | grep netsnd
hasilnya adalah gambar diatas. ada proses yang menjalankan file tttt yang targetnya random. oke, disini sudah jelas kalau memang aneh. saya lanjutkan migitasinya dengan mencari keberadaan file tttt dan kemudian membaca isi file tersebut,
dari hasil pencarian, menemukan letak file tersebut, kemudian saya membaca isi dari file tersebut dan file-file lainnya.
dari sana dapat dibaca, bahwasannya, proses yang tidak wajar tersebut adalah menjalankan perintah nmap pada host random di internet.
proses tersebut akan memakan resource, baik CPU, RAM dan Network.
darisana sudah bisa disimpulkan, bahwa server tersebut sudah menjadi ROBOT yang dikendalikan oleh orang lain diluar sana untuk proses-proses yang dia inginkan.
oiya, selain menjalankan perintah nmap, rupanya server tersebut juga digunakan untuk mining
siapa pelakunya ? bagaimana cara masuknya ?
diperlukan mitigasi lebih dalam untuk mengetahui pelakunya, sementara ini, server tersebut saya karantina agar tidak berproses sementara waktu, dengan demikian, aplikasi diserver tersebut juga tidak dapat diakses sampai dengan waktu yang belum ditentukan.
terima kasih telah mau membaca. :*