Mendadak Server Admin

Discussion in 'VPS (Virtual Private Server)' started by xperia, 12 Sep 2014.

Thread Status:
Not open for further replies.
  1. xperia

    xperia Beginner 2.0

    Messages:
    61
    Likes Received:
    0
    Trophy Points:
    6
    Hello,
    saya sebenarnya adalah developer web, tapi 2 hari ini saya mendadak server admin karena situs kami katanya kena phising dan coba perbaiki namun gagal berkali-kali, karena itu saya mohon petunjuk untuk saya bisa paling tidak jadi detektif dan ga dikadalin sama hacker2x ini..

    Mohon koreksi kalau saya salah

    1. Mendeteksi penggunaan resource berlebihan
    Untuk melihat proses yang sedang berjalan saya menggunakan 'top' . Disana tercantum cpu dan memory resource yg berjalan..
    pertanyaan saya:
    a. saat php/mysq dalam kondisi 70-100%, apakah saya bisa mendeteksi script php mana yang membuat kondisi jadi lama ? atau jika ini mysql, apakah bisa dideteksi juga query apa yang membuat jadi lama ?

    2. Modifikasi file
    Ini saya seperti mencari jarum dalam jerami, apakah ada sintaks untuk melihat file file yang di modifikasi pada hari/tgl/jam tertentu ? sekarang, saya gunakan file manager di cpanel.. pegel bo

    3. Apakah ada referensi dasar yang saya perlukan untuk belajar memantau/melakukan audit server. Mungkin ada situs berisikan kumpulan-kumpulan perintah yang sering digunakan untuk memantau. Saya kemarin sempat mau ikut kursus online di linuxacademy.com, tapi materinya terlalu banyak dan mungkin banyak pula yang saya tidak akan pakai karena kebutuhan saya hanya mengatur untuk web server... tapi jikalau menurut rekan-rekan adalah keharusan.. ya saya akan pertimbangkan alokasi waktu untuk ini......

    4. Apakah ada ciri-ciri khusus dari penggunaan resource cpu atau hal lainnya, bila suatu server terkena hack ? karena saat ini provider cuma bilang semua akun terkena phising, padahal yang saya dapat warning adalah cuma satu akun saja... tapi tetap yang disuspend satu VPS.

    Terima Kasih untuk bantuannya
     
  2. mgilank

    mgilank Apprentice 1.0

    Messages:
    260
    Likes Received:
    33
    Trophy Points:
    28
    1 a. coba pakai software tambahan yg lebih cool dari top : htop
    jika pake top bisa dengan #top -c

    2. nah ini pernah coba
    pakai :
    #find /path/nya/apa -newermt "yyyy-mm-dd"
    bisa ke sini juga lihat lebih lanjut : http://www.cyberciti.biz/faq/unix-linux-list-all-files-modified-on-given-date/

    3. coba main ke
    - howtoforge.com
    - cyberciti.biz
    - tecmint
    dll

    4. phising biasanya (cmiiw) dalam bentuk file, dan file ini yg mengirimkan email2 phising ke provider2 seperti gmail / yahoo. makanya disuspend VPSnya, karena jika tidak provider VPS tersebut kena warning malah bisa masuk blacklist IPnya (masuk spamhaus).
    jadi coba cari file2 tersebut dulu, setelah ketemu lalu hapus.
    nah selanjutnya bisa update script atau cms yang dipakai , selain itu juga kuatkan dari sisi security VPSnya,

    btw vpsnya pake cpanel?
     
    root001 and BikinDesainSitus like this.
  3. idnix

    idnix Hosting Guru

    Messages:
    1,003
    Likes Received:
    189
    Trophy Points:
    63
    untuk menjawab pertanyaan om

    1. (idem sama Tuan mgilank)

    a. dan kalau mau lihat process yg berjalan di mysql

    show full processlist;

    2. gunakan perintah dibawah ini
    find . -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

    3. referensi dasar, kesemuanya sudah disediakan sama linux pada folder /var/log

    4. informasinya kurang jelas, anda sendiri sebagai client atau provider yg bersangkutan?
     
    root001 and BikinDesainSitus like this.
  4. xperia

    xperia Beginner 2.0

    Messages:
    61
    Likes Received:
    0
    Trophy Points:
    6
    Wah terima kasih banget untuk @mgilank dan @pocarisweat buat intipannya
    saya capture kondisi vps dari htop saat ini :

    [​IMG]
    Dari sana terlihat terlihat penggunaan memorinya besar sekali ya.. apa itu normal ? trus ada 48:48.57 itu artinya 48 Jam 48 menit, prosesnya tidak selesai selesai ???

    saya capture di mysql (lewat account root)
    [​IMG]

    Kok sepertinya idle ya ? Apa saya mesti masuk sub akun satu persatu ?

    2. untuk deteksi modifkasi file saya sedang coba
    3. thanks buat referensinya
    4. @pocarisweat , saya disini sebagai penyewa VPS, saya lagi berpikir punya jadwal untuk cek server, apakah mungkin membuat PHP untuk di set cron, dan memberikan laporan via email ? jadi setiap bulan saya bisa tau file apa saja yg baru/berubah

    Masalah ini membuat saya 'naik kelas' dalam mengurusi server...
     
  5. mgilank

    mgilank Apprentice 1.0

    Messages:
    260
    Likes Received:
    33
    Trophy Points:
    28
    Itu htop yg 48:x:x artinya (cmiiw) mysql sudah berjalan sekian lama, tidak perlu khawatir, yang perlu diperhatian pada bagian CPU dan MEM
    jika usage tinggi berarti mysql sedang melakukan query yang berat.
    ini masih seputar phising kan?
    coba pake command : # ps faux | grep php

    nanti keluar proses php yg sekarang digunakan, nah coba deh trace file2 tersebut isinya apa.
    happy hunting
     
    root001 likes this.
  6. dhyhost

    dhyhost Hosting Guru Web Hosting

    Messages:
    3,926
    Likes Received:
    613
    Trophy Points:
    113
    cpanel ya,
    pastikan limit email keluarnya jangan unlimited di bagian tweak setting, diset saja 100-300/jam/domain
    saya biasa pakai plugin "ConfigServer Mail Queues" untuk mantau antrian email,
     
  7. xperia

    xperia Beginner 2.0

    Messages:
    61
    Likes Received:
    0
    Trophy Points:
    6
    Wah saya lagi mo buat rekapan di thread pertama agar kalau ada orang yg seperti saya 'mendadak server admin'... akan terbantu dengan informasi-informasi ini... Terima kasih @mgilank, @pocarisweat, dan @dhyhost yang walau tidak kenal saya namun sudah membantu saya memecahkan masalah ini.... ternyata masalah ini membuat saya 'naik kelas' dan mulai tercerahkan untuk beberapa hal kecil dalam pengaturan server

    The hunting goes on... masih banyak yg perlu dikuasai...

    More feedback is really appreciate...
     
  8. idnix

    idnix Hosting Guru

    Messages:
    1,003
    Likes Received:
    189
    Trophy Points:
    63
    fyi, lebih itu ip nya di samarkan om demi keamanan
     
  9. root001

    root001 Poster 1.0

    Messages:
    76
    Likes Received:
    4
    Trophy Points:
    8
    ilmu baru nich, izin ikut belajar yach mastah2.
    thanks sharednya sangat bermanfaat
     
  10. xperia

    xperia Beginner 2.0

    Messages:
    61
    Likes Received:
    0
    Trophy Points:
    6
    Hello om @pocarisweat , maksudnya IP disamarkan apa ya ? di ss saya sepertinya tidak ada ip...
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...