Ciri server linux yg kena hack

arissety

Apprentice 1.0
Pagi semua,

Saya pernah ada server linux, yg mana, sy merasa kuatir klo server tersebut sudah kena hacked.
Mungkin ada expert disini yg sdh pengalaman identifikasi apakah server ini sdh kena hacked atau tidak.
Saya ragu, karena mmg server masih bisa digunakan dengan lancar dan tidak ada masalah berarti.
Namun ada beberapa hal yg bikin saya curiga atau saya saja yg gaptek soal security.

Berikut ciri2nya:
  1. Server ini dedicated server, centos. Hanya install apache webserver. Root login disabled. SSH, apache/httpd sudah diamankan pakai fail2ban.
  2. Server bisa digunakan secara normal, g ada slowdown atau cpu yg tinggi.
  3. Awal mula terjadi load tinggi di server dan setelah sy cek, server habis reboot, lalu saya restard apache nya, dan semua normal lagi. katakanlah reboot pada jam xx:yy:zz
  4. Awal yg bikin curiga, sy mau cek comand sebelumnya pakai key-up, kok g ada. :(
  5. Lalu cek2 log di /var/log, ada beberapa file yg kosong, dengan last modified time nya sama pada saat reboot jam xx:yy:zz
  6. Command historynya juga hanya mulai dari setelah reboot.
  7. Output last dan last reboot, juga hanya muncul setelah jam xx:yy:zz.
  8. Setelah sy selidiki, ternyata service syslog nya g running, dan setelah sy start, maka lognya yg di /var/log mulai muncul semua.
Apakah ini ciri2 kena hacked?
Atau bisa jadi pada saat reboot, file2 yg berhubungan dengan syslog terhapus karena error systemfile? Karena sy banyak cron yg jalan sekaligus, yg menghapus file2 yg sudah tua.

Terimakasih.
 

ultra7

Beginner 2.0
apakah integrity file2 di webserver tuan ada yang berubah setelah jam xx:yy:zz ?, bisa cari difilter berdasarkan mtime nya

mungkin tuan dibawah saya bisa menjawab lebih baik lagi #sayamahmshcupu:9:
 

arissety

Apprentice 1.0
apakah integrity file2 di webserver tuan ada yang berubah setelah jam xx:yy:zz ?, bisa cari difilter berdasarkan mtime nya

mungkin tuan dibawah saya bisa menjawab lebih baik lagi #sayamahmshcupu:9:
Tks om. Saya cek masih wajar mtime nya.

Klo untuk jasa audit security server apakah ada ya di Indonesia?
 

Milea Adnan

Apprentice 1.0
  1. Mumpung masih operasinal dan on-service, backup, backup dan backup-lah sesegera mungkin ke tempat yg aman.
  2. cek services yg running pakai top atau htop.
  3. kl root sdh disable login, ssh dan apache sdh pakai fail2ban, coba cek file2 web nya. kl ada yg aneh2, biasanya ter-compromise via sql inject, xsrf dan semisalnya.
  4. cek versi kernel, distro dan daemon2 yg running, lalu cek versinya tersebut masuk ke dalam database2 CVE (Common Vulnerables & Exposures) terutama cek yg bug-nya tsb bersifat remote-exploit.
  5. cek kemungkinan bot/malware yg telah tertanam, bisa pakai rkhunter atau LMD (Linux Maldet) atau semisalnya.
  6. bila hasil pengecekan dirasa aman, bisa melanjutkan peng-update-an dan peng-upgrade-an dari semua sistem yg dirasa perlu, tentunya dengan mempertimbangkan kompatibilitas dengan aplikasi web yg sedang digunakan.
  7. bila memang ditemukan hal2 yg dapat mengganggu server, maka bisa dilakukan dengan langkah2 lanjutan dengan menghapus atau membersihkannya.
  8. siapkan langkah mitigasi seperti menginstal ulang atau menyiapkan mesin backup lainnya bila langkah no. 7 tidak didapatkan hasil yang baik.
 

ultra7

Beginner 2.0
Tks om. Saya cek masih wajar mtime nya.

Klo untuk jasa audit security server apakah ada ya di Indonesia?
saya pernah ngalamin nemu backdoor dalam bentuk syntax regex yang di enkripsi dan disamarkan sebagai file2 gambar spt .ico .jpg .png, dan mtime nya juga diubah sama dengan mtime core framework, beruntungnya saya saat itu jeli hapal default file si core framework nya apa aja :18:

yang mau terima jasa audit banyak tuan, tp yg well-known dan pny integritas saya kurang tau
 

mlutfiup

Hosting Guru
Pagi semua,

Saya pernah ada server linux, yg mana, sy merasa kuatir klo server tersebut sudah kena hacked.
Mungkin ada expert disini yg sdh pengalaman identifikasi apakah server ini sdh kena hacked atau tidak.
Saya ragu, karena mmg server masih bisa digunakan dengan lancar dan tidak ada masalah berarti.
Namun ada beberapa hal yg bikin saya curiga atau saya saja yg gaptek soal security.

Berikut ciri2nya:
  1. Server ini dedicated server, centos. Hanya install apache webserver. Root login disabled. SSH, apache/httpd sudah diamankan pakai fail2ban.
  2. Server bisa digunakan secara normal, g ada slowdown atau cpu yg tinggi.
  3. Awal mula terjadi load tinggi di server dan setelah sy cek, server habis reboot, lalu saya restard apache nya, dan semua normal lagi. katakanlah reboot pada jam xx:yy:zz
  4. Awal yg bikin curiga, sy mau cek comand sebelumnya pakai key-up, kok g ada. :(
  5. Lalu cek2 log di /var/log, ada beberapa file yg kosong, dengan last modified time nya sama pada saat reboot jam xx:yy:zz
  6. Command historynya juga hanya mulai dari setelah reboot.
  7. Output last dan last reboot, juga hanya muncul setelah jam xx:yy:zz.
  8. Setelah sy selidiki, ternyata service syslog nya g running, dan setelah sy start, maka lognya yg di /var/log mulai muncul semua.
Apakah ini ciri2 kena hacked?
Atau bisa jadi pada saat reboot, file2 yg berhubungan dengan syslog terhapus karena error systemfile? Karena sy banyak cron yg jalan sekaligus, yg menghapus file2 yg sudah tua.

Terimakasih.
1 sampai 7 masalah, 8 solusinya bukan begitu?
gak itu mah emang servicenya berhenti aja gak ada hubungan sama hack

coba om scan aja servernya siapa tau ada botnet atau semacamnya yang bikin performa lambat atau load tinggi
 

    
Top