Mitigasi host yang menjadi bot

awalnya saya hanya melakukan rutinitas pengecekan firewall di kantor yang saya tangani.

dari hasil monitoring, ada lalu lintas yang tidak wajar dari salah satu host. kemudian saya mencoba mencari tau lebih jauh.

aktifitas tidak wajar

aktifitas tidak wajar

dari gambar diatas, dapat diketahui bahwa host tersebut berasal dari farmserver, dimana aktifitas outgoing yang tidak normal menuju port tertentu.

mitigasi selanjutnya saya remote SSH server tersebut. hal pertama yang saya cek adalah konsumsi resource

resource penuh

resource penuh

selain resource penuh, ada proses yang tidak wajar berjalan pada server, saya mitigasi lebih jauh terkait proses tersebut dengan melihat lebih rinci dengan perintah :

ps aux | grep netsnd

proses tidak wajar

proses tidak wajar

hasilnya adalah gambar diatas.  ada proses yang menjalankan file tttt yang targetnya random. oke, disini sudah jelas kalau memang aneh. saya lanjutkan migitasinya dengan mencari keberadaan file tttt dan kemudian membaca isi file tersebut,

letak file tttt dan rekan2 nya

letak file tttt dan rekan2 nya

dari hasil pencarian, menemukan letak file tersebut, kemudian saya membaca isi dari file tersebut dan file-file lainnya.

menjalankan nmap

menjalankan nmap

dari sana dapat dibaca, bahwasannya, proses yang tidak wajar tersebut adalah menjalankan perintah nmap pada host random di internet.

proses tersebut akan memakan resource, baik CPU, RAM dan Network.

darisana sudah bisa disimpulkan, bahwa server tersebut sudah menjadi ROBOT yang dikendalikan oleh orang lain diluar sana untuk proses-proses yang dia inginkan.

oiya, selain menjalankan perintah nmap, rupanya server tersebut juga digunakan untuk mining

miner

miner

siapa pelakunya ? bagaimana cara masuknya ? 

diperlukan mitigasi lebih dalam untuk mengetahui pelakunya, sementara ini, server tersebut saya karantina agar tidak berproses sementara waktu, dengan demikian, aplikasi diserver tersebut juga tidak dapat diakses sampai dengan waktu yang belum ditentukan.

terima kasih telah mau membaca. :*

Bagikan saja, itu tidak berat

Blog tergalau sedunia

Aslm. selamat pagi/siang/sore 😀

Beres dah pasang themes di wordpress yang super galau ini, galau karena udahlah jarang update, sering ganti theme, dan gak konsisten sama isinya.

ya , namanya blogger galau. gak tau arahnya mau dibawa kemana ini blog. tapi, tapi ini lo, mulai saat ini saya akan konsisnten tenhadap blog ini.

blog ini akan mendokumentasikan setiap kegiatan saya, baik itu dalam hal pekerjaan atau keseharian. kata-kata tadi mirip seperti kata-kata saya dari tahun ke tahun, di blog ini juga. 😀

btw, themes yang saya gunakan saat ini adalah themes Pulito Clean Blog Lite. ,

lagi-lagi temanya clean, seperti themes-themes saya sebelumnya. ya itulah, saya sendiri tidak tau, kenapa saya mesti ganti themes, padahal tidak ada masalah dengan themes yang sebelumnya. tapi gak apa-apalah, blog-blog saya, ya suka -suka saya mau saya apain.

ya mudah-mudahan saya bisa konsisten setelah artikel ini terbit. hehehe..

saya bakal sering ngomongin konfigurasi server, firewall paloalto , server linux centos, ubuntu dll , openstack   proxmox , 

dan lainnya, apa aja deh…

sekian , terima kasih.

wasalam.

 

Bagikan saja, itu tidak berat