Forensic analysis

Backdoor pertama kali ketahuan dari hasil output ps -ef, nama proses r0nin

1. Bersihkan dulu server dari backdoor tersebut

  • Cari lokasi backdoor di hard disk : find / -name r0nin
  • Ketemu di /tmp, segera hapus : rm -f /tmp/r0nin*
  • Matikan proses di memory : kill -9 [pid_r0nin]

2. Cari rootkit
rootkit adalah software yang memungkinkan user biasa menjadi memiliki akses root. Karenanya, tentu saja, sangat berbahaya.
Saya memeriksa server saya dengan Rootkit Hunter dan chkrootkit

3. Bagaimana cara spammer masuk ke server:
Karena r0nin dijalankan sebagai user www-data, berarti masuknya melalui Apache. Jadi kita cari informasinya di log Apache :

  • Cari string “r0nin” : find /var/log/apache/ -print | xargs grep r0nin
  • Ketemu di /var/log/apache/error.log, ada hasil perintah-perintah yang dijalankan oleh si spammer. Mustinya di access.log juga ada – tapi, mungkin di-encode.
  • Kelihatan perintah-perintah tersebut dijalankan sekitar tanggal 14 Desember pukul 7 pagi, jadi kita search log Apache untuk entries pada waktu itu: find /home/sufehmi/web/logs/ -print | xargs grep “14/Dec/2004:07”

Ketemu, ternyata spammer tersebut masuk dengan menggunakan vulnerability di phpBB versi 2.0.11 ke bawah. Entry yang berkaitan adalah sbb :

/var/log/apache/agfp-access.log:200.158.9.218 – – [14/Dec/2004:07:20:40 -0600] “GET /forum//viewtopic.php?t=10&highlight=%252echr(47)%252echr(117)%252echr(115)%252echr(114)%252echr(47)%252echr(108)%252echr(111)%252echr(99)%252echr(97)%252echr(108)%252echr(47)%252echr(59)%252echr(108)%252echr(115)%252echr(32)%252echr(45)%252echr(108)%252echr(97)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(95)%252echr(95)%252echr(95)%252echr(70)%252echr(73)%252echr(77)%252echr(95)%252echr(95)%252echr(95)%252echr(59))%252e%2527 HTTP/1.1” 200 27315 “-” “Mozilla/3.0 (compatible; Indy Library)”

4. Setelah ketahuan biang keroknya, maka forum tersebut langsung di-non aktifkan, sambil menunggu proses upgrade-nya selesai.

5. Kesimpulan:
Walaupun r0nin sudah terpasang, namun tidak berdaya apa-apa karena r0nin melayani akses via port 1666 – sedangkan port tersebut diblokir oleh Firehol.

Case closed ? Belum, masih ada beberapa hal yang bisa dilakukan untuk memperkuat keamanan server ini. Silahkan comment kalau Anda bisa menebaknya 🙂

3 thoughts on “Forensic analysis

  1. Iya, percaya kok, soalnya yang ngebikin backdoor itu jelas enggak bisa mengeja dengan benar 😛

Leave a Reply

Your email address will not be published.