Cek Shell Backdoor di Server

[T36o3h]

Master sekalian,
gimana caranya tau letak backdoor shell yang ditanam orang di server ni ??
Tolong dibantu ya ....
Thanks

 

[pedagang]

rkhunter

 

[T36o3h]

aq sdh pasang rkhunter hasilnya g ada yang kedetect
aq pasang LMD dan aq cron daily ... cronnya pagi2 buta jadi kalo masuk siang/malem nunggu besoknya baru discan
ada yg lebih efektif gak ya ??

 

[pedagang]

kalau yg dicari nggak ada maka 'mungkin' memang nggak ada ?
apa indikasi kalau ada backdoor ?

silahkan dilanjut dg para master yg jarinya lagi nganggur

 

[T36o3h]

ada bbrp file unknown yg tiba2 ditanam di bbrp akun saya dan ada report phising
jd saya pgen tau backdoornya dimana gt

 

[pedagang]

bantu colek @mustafaramadhan @junior riau

 

[pedagang]

cek dibawah itu banyak similar thread,
supaya kalo ada petunjuk dari para master bisa lebih mengarah gitu

 

[T36o3h]

saya sdh coba dan gak jalan

 

[mustafaramadhan]

Untuk RKHunter, apa sudah dipelajari log-nya?.

 

[junior riau]

malware detect g bisa?
kalau aku bnyak ya lama
akun 1 1 coba scan
caba lihat hasil
# htop
terus tekan f4, terus ketik php

biasanya ada process2 backdoor itu
saya dari sana lihat kalau lagi malas

atau ps fuxa | grep .php

nanti terlihat itu proces2 yang memakai file .php

biasanya backdor diletak di folder2 yang gak mungkin di curigai
e.g. :
- css
- js
- wp-admin (wp)
- wp-include/themes/
- themes nyq wp,
- folder upload
- plugin wp
beberapa nama

data.php system.php
dump.php themes.php
sql-backup.php

itu beberapa yang suka nongol di server saya di akun2 klien yang ga di patch