Mendadak Server Admin


Status
Not open for further replies.

xperia

Beginner 2.0
Hello,
saya sebenarnya adalah developer web, tapi 2 hari ini saya mendadak server admin karena situs kami katanya kena phising dan coba perbaiki namun gagal berkali-kali, karena itu saya mohon petunjuk untuk saya bisa paling tidak jadi detektif dan ga dikadalin sama hacker2x ini..

Mohon koreksi kalau saya salah

1. Mendeteksi penggunaan resource berlebihan
Untuk melihat proses yang sedang berjalan saya menggunakan 'top' . Disana tercantum cpu dan memory resource yg berjalan..
pertanyaan saya:
a. saat php/mysq dalam kondisi 70-100%, apakah saya bisa mendeteksi script php mana yang membuat kondisi jadi lama ? atau jika ini mysql, apakah bisa dideteksi juga query apa yang membuat jadi lama ?

2. Modifikasi file
Ini saya seperti mencari jarum dalam jerami, apakah ada sintaks untuk melihat file file yang di modifikasi pada hari/tgl/jam tertentu ? sekarang, saya gunakan file manager di cpanel.. pegel bo

3. Apakah ada referensi dasar yang saya perlukan untuk belajar memantau/melakukan audit server. Mungkin ada situs berisikan kumpulan-kumpulan perintah yang sering digunakan untuk memantau. Saya kemarin sempat mau ikut kursus online di linuxacademy.com, tapi materinya terlalu banyak dan mungkin banyak pula yang saya tidak akan pakai karena kebutuhan saya hanya mengatur untuk web server... tapi jikalau menurut rekan-rekan adalah keharusan.. ya saya akan pertimbangkan alokasi waktu untuk ini......

4. Apakah ada ciri-ciri khusus dari penggunaan resource cpu atau hal lainnya, bila suatu server terkena hack ? karena saat ini provider cuma bilang semua akun terkena phising, padahal yang saya dapat warning adalah cuma satu akun saja... tapi tetap yang disuspend satu VPS.

Terima Kasih untuk bantuannya
 

mgilank

Expert 1.0
Verified Provider
1 a. coba pakai software tambahan yg lebih cool dari top : htop
jika pake top bisa dengan #top -c

2. nah ini pernah coba
pakai :
#find /path/nya/apa -newermt "yyyy-mm-dd"
bisa ke sini juga lihat lebih lanjut : http://www.cyberciti.biz/faq/unix-linux-list-all-files-modified-on-given-date/

3. coba main ke
- howtoforge.com
- cyberciti.biz
- tecmint
dll

4. phising biasanya (cmiiw) dalam bentuk file, dan file ini yg mengirimkan email2 phising ke provider2 seperti gmail / yahoo. makanya disuspend VPSnya, karena jika tidak provider VPS tersebut kena warning malah bisa masuk blacklist IPnya (masuk spamhaus).
jadi coba cari file2 tersebut dulu, setelah ketemu lalu hapus.
nah selanjutnya bisa update script atau cms yang dipakai , selain itu juga kuatkan dari sisi security VPSnya,

btw vpsnya pake cpanel?
 

idnix

Hosting Guru
Verified Provider
untuk menjawab pertanyaan om

1. (idem sama Tuan mgilank)

a. dan kalau mau lihat process yg berjalan di mysql

show full processlist;

2. gunakan perintah dibawah ini
find . -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

3. referensi dasar, kesemuanya sudah disediakan sama linux pada folder /var/log

4. informasinya kurang jelas, anda sendiri sebagai client atau provider yg bersangkutan?
 

xperia

Beginner 2.0
Wah terima kasih banget untuk @mgilank dan @pocarisweat buat intipannya
saya capture kondisi vps dari htop saat ini :

09.12.2014-23.58.png

Dari sana terlihat terlihat penggunaan memorinya besar sekali ya.. apa itu normal ? trus ada 48:48.57 itu artinya 48 Jam 48 menit, prosesnya tidak selesai selesai ???

saya capture di mysql (lewat account root)
09.13.2014-00.04.png


Kok sepertinya idle ya ? Apa saya mesti masuk sub akun satu persatu ?

2. untuk deteksi modifkasi file saya sedang coba
3. thanks buat referensinya
4. @pocarisweat , saya disini sebagai penyewa VPS, saya lagi berpikir punya jadwal untuk cek server, apakah mungkin membuat PHP untuk di set cron, dan memberikan laporan via email ? jadi setiap bulan saya bisa tau file apa saja yg baru/berubah

Masalah ini membuat saya 'naik kelas' dalam mengurusi server...
 

mgilank

Expert 1.0
Verified Provider
Itu htop yg 48:x:x artinya (cmiiw) mysql sudah berjalan sekian lama, tidak perlu khawatir, yang perlu diperhatian pada bagian CPU dan MEM
jika usage tinggi berarti mysql sedang melakukan query yang berat.
ini masih seputar phising kan?
coba pake command : # ps faux | grep php

nanti keluar proses php yg sekarang digunakan, nah coba deh trace file2 tersebut isinya apa.
happy hunting
 

dhyhost

Web Hosting Service
The Warrior
Verified Provider
cpanel ya,
pastikan limit email keluarnya jangan unlimited di bagian tweak setting, diset saja 100-300/jam/domain
saya biasa pakai plugin "ConfigServer Mail Queues" untuk mantau antrian email,
 

xperia

Beginner 2.0
Wah saya lagi mo buat rekapan di thread pertama agar kalau ada orang yg seperti saya 'mendadak server admin'... akan terbantu dengan informasi-informasi ini... Terima kasih @mgilank, @pocarisweat, dan @dhyhost yang walau tidak kenal saya namun sudah membantu saya memecahkan masalah ini.... ternyata masalah ini membuat saya 'naik kelas' dan mulai tercerahkan untuk beberapa hal kecil dalam pengaturan server

The hunting goes on... masih banyak yg perlu dikuasai...

More feedback is really appreciate...
 

idnix

Hosting Guru
Verified Provider
fyi, lebih itu ip nya di samarkan om demi keamanan
 
Status
Not open for further replies.

Top