cara scan dan menghilangkan rootkit?

[hostingceria]

baru2 ini saya mengalami masalah cukup aneh, jadi ceritanya ada satu klien komplain karena file2 php webnya terkena infeksi scripting plus ada ekstra file zcv.gif di semua direktori yang terdapat file php terinfeksi tersebut. Kalo file ini didownload ke PC maka akan terdeteksi sebagai trojan di antivirus PC (saya pakai eset).

saya coba cari di keseluruhan server ternyata yang terinfeksi hanya satu hosting milik klien ini, yang lainnya normal semua. Awalnya saya kira karena scriptingnya ada kelemahan sehingga bisa ditembus, tapi setelah itu saya penasaran akhirnya saya coba minta ijin semua filenya dia dihapus dulu dan saya bikin 1 file index.php sederhana yang hanya berisi echo "abc" untuk keperluan testing.

Tebak apa yang terjadi? Setelah beberapa jam, file ini terinfeksi juga dengan kasus yang sama, jadi saya mulai curiga jangan2 ada rootkit bersembunyi di server, oleh karena itu saya pasang rkhunter dan coba scan, setelah terima emailnya dapat 2 email, yang satu "RKHunter Scan Details" tapi isinya kosong, dan satu lagi "rkhunter] warning found for xxx" tapi isinya juga aneh dan tidak membantu hanya berisi "Please inspect this machine, because it may be infected."

jadi saya agak buntu sekarang harus bagaimana, mohon bantuannya kalau ada yang sudah berpengalaman dengan scan & pembersihan rootkit ini ya

thanks before

 

[rendy]

belum tentu rootkit ya
tapi kalau memang si domain tersebut dijadikan target
mau diapain juga pasti jebol

 

[IIXPLANET]

dh bro hosting ceria , ini bisa jadi kemungkinan hidden rootkit / malware , jadi jika masih ada induk rootkitnya yg tertanam dalam server maka akan terus menjangkiti account tersebut walaupun child rootkitnya telah di hapus .
dan masalah nya untuk hidden rootkit ini aga susah dilacak karena dia bisa saja berada di dir / path2 lain atau bisa juga berada di acc itu namun karena hidden jadi tidak terlihat secara langsung .

tips :

1. coba di terminate dan create ulang acc nya tanpa memakai restore dr backup ( clean setup )
mungkin bisa berguna jika induk rootkit / malware ini belum menjangkiti yg lain di server / hanya 1 acc ini saja

2. coba buka isi file viri tersebut dan pakai string yg ada disana , cari saja strings yg sekiranya aneh dan ga lazim dipakai
untuk coding biasa , lalu lakukan pencarian dengan methode string scanned , cmd ada di tutor bash cmd .

untuk proses ini jika scan di homdir dir user mungkin akan cepat dan ga makan cpu , namun jika scan untuk entire
server ini akan makan cpu dan waktu yg cukup lama jadi disarankan offkan service lainnya dulu .

3. Gunakan crond rutin harian jika memang terdetect pada methode no 2 untuk scan string tersebut guna prevent
masalah ini terjadi di kemudian hari .

4. jika tidak berhasil juga , maka matikan / disable proses yg dijalankan oleh si malware ini , bukan untuk menghapus
malwarenya namun untuk mencegah penyebaran viri ini menjangkiti yg lain dengan mematikan process si viri ini.