Topik ini menjelaskan praktik terbaik untuk mendeteksi dan menghapus trojan pada sistem operasi Linux.
Informasi latar belakang
Jika kerentanan terdeteksi di sistem operasi Linux Anda tetapi tidak ada tindakan pencegahan yang diambil, trojan dapat masuk ke dalam sistem. Trojan harus segera dihapus dari sistem. Selain itu, Anda perlu memperkuat keamanan sistem menggunakan berbagai metode, seperti memasang tambalan keamanan, mengontrol izin sistem, melakukan audit operasi, dan menganalisis log.
Langkah 1: Gunakan Security Center untuk mendeteksi trojan
Masuk ke konsol Security Center untuk menangani peringatan dan menghapus trojan yang terdeteksi sesegera mungkin. Untuk informasi lebih lanjut, lihat Lihat dan Tangani Peringatan.
Perbaiki kerentanan sesegera mungkin untuk memperkuat keamanan sistem. Untuk informasi lebih lanjut, lihat Lihat dan Tangani Kerentanan Perangkat Lunak Linux.
Langkah 2: Kueri detail serangan
Jalankan perintah
lastdanlastloguntuk memeriksa waktu login terakhir dan akun login, lalu kunci akun yang mencurigakan.Jalankan perintah
grep -i Accepted /var/log/secureuntuk memeriksa alamat IP yang digunakan untuk login jarak jauh ke sistem.Jalankan perintah berikut untuk memeriksa pekerjaan cron:
/var/spool/cron/ /etc/cron.hourly /etc/crontabJalankan perintah
find / -ctime 1untuk memeriksa waktu pembaruan terakhir sebuah file guna mengidentifikasi file trojan.Periksa file /etc/passwd dan /etc/shadow untuk pengguna yang mencurigakan.
Periksa direktori sementara /tmp, /var/tmp, dan /dev/shm. Izin direktori ini adalah 1777, sehingga dapat digunakan untuk mengunggah file trojan.
Periksa apakah ada pengecualian dalam log layanan seperti Tomcat dan NGINX, yang port layanannya dapat diakses dari Internet.
Jalankan perintah
service --status-all | grep runninguntuk memeriksa apakah ada pengecualian dalam layanan yang sedang berjalan.Jalankan perintah
chkconfig --list | grep :onuntuk memeriksa apakah ada pengecualian dalam layanan yang dimulai secara otomatis.Jalankan perintah
ls -lt /etc/init.d/ | headuntuk memeriksa apakah ada skrip startup yang abnormal.
Langkah 3: Jalankan perintah umum untuk mendeteksi trojan
Perintah | Deskripsi |
ps atau top | Anda dapat menjalankan perintah ini untuk menanyakan proses yang sedang berjalan dan sumber daya sistem yang ditempati oleh proses-proses tersebut. Dengan cara ini, Anda dapat mengidentifikasi proses yang tidak normal. |
pstree | Anda dapat menjalankan perintah ini untuk memvisualisasikan hubungan antar proses dalam Treemap. |
lsof | Anda dapat menjalankan perintah ini untuk menanyakan file yang dibuka oleh suatu proses, file atau direktori yang ditempati oleh suatu proses, proses yang membuka port tertentu, dan semua port terbuka di sistem. |
netstat | Anda dapat menjalankan perintah ini untuk menanyakan semua port yang dipantau oleh sistem, status koneksi jaringan, dan alamat IP dari mana koneksi berlebihan dibuat. |
iftop | Anda dapat menjalankan perintah ini untuk memantau lalu lintas jaringan yang diteruskan melalui koneksi TCP secara real-time. Dengan cara ini, Anda dapat membedakan dan mengurutkan lalu lintas arah masuk dan arah keluar, serta mengidentifikasi alamat IP yang memiliki lalu lintas jaringan abnormal. |
nethogs | Anda dapat menjalankan perintah ini untuk memantau lalu lintas jaringan yang dihasilkan oleh setiap proses dan mengurutkan proses berdasarkan volume lalu lintas dalam urutan menurun. Dengan cara ini, Anda dapat mengidentifikasi proses abnormal dengan lalu lintas yang sangat besar. |
strace | Anda dapat menjalankan perintah ini untuk melacak panggilan sistem yang dieksekusi oleh proses tertentu. Dengan cara ini, Anda dapat menganalisis status berjalan trojan. |
strings | Anda dapat menjalankan perintah ini untuk mendapatkan string karakter yang dapat dicetak dalam file. Kemudian, Anda dapat menggunakan string-string tersebut untuk menganalisis trojan. |