Pagi semua,
Saya pernah ada server linux, yg mana, sy merasa kuatir klo server tersebut sudah kena hacked.
Mungkin ada expert disini yg sdh pengalaman identifikasi apakah server ini sdh kena hacked atau tidak.
Saya ragu, karena mmg server masih bisa digunakan dengan lancar dan tidak ada masalah berarti.
Namun ada beberapa hal yg bikin saya curiga atau saya saja yg gaptek soal security.
Berikut ciri2nya:
Atau bisa jadi pada saat reboot, file2 yg berhubungan dengan syslog terhapus karena error systemfile? Karena sy banyak cron yg jalan sekaligus, yg menghapus file2 yg sudah tua.
Terimakasih.
Saya pernah ada server linux, yg mana, sy merasa kuatir klo server tersebut sudah kena hacked.
Mungkin ada expert disini yg sdh pengalaman identifikasi apakah server ini sdh kena hacked atau tidak.
Saya ragu, karena mmg server masih bisa digunakan dengan lancar dan tidak ada masalah berarti.
Namun ada beberapa hal yg bikin saya curiga atau saya saja yg gaptek soal security.
Berikut ciri2nya:
- Server ini dedicated server, centos. Hanya install apache webserver. Root login disabled. SSH, apache/httpd sudah diamankan pakai fail2ban.
- Server bisa digunakan secara normal, g ada slowdown atau cpu yg tinggi.
- Awal mula terjadi load tinggi di server dan setelah sy cek, server habis reboot, lalu saya restard apache nya, dan semua normal lagi. katakanlah reboot pada jam xx:yy:zz
- Awal yg bikin curiga, sy mau cek comand sebelumnya pakai key-up, kok g ada.
- Lalu cek2 log di /var/log, ada beberapa file yg kosong, dengan last modified time nya sama pada saat reboot jam xx:yy:zz
- Command historynya juga hanya mulai dari setelah reboot.
- Output last dan last reboot, juga hanya muncul setelah jam xx:yy:zz.
- Setelah sy selidiki, ternyata service syslog nya g running, dan setelah sy start, maka lognya yg di /var/log mulai muncul semua.
Atau bisa jadi pada saat reboot, file2 yg berhubungan dengan syslog terhapus karena error systemfile? Karena sy banyak cron yg jalan sekaligus, yg menghapus file2 yg sudah tua.
Terimakasih.