Membasmi Malware script #1

Kali ini saya akan membuat tutorial bagaimana cara membasmi malware script. Jika ada yang belum tahu, malware adalah kepanjangan dari malicious software. Jika diartikan ke indonesia berarti perangkat lunak yang mencurigakan.

Perlu saya beritahu dahulu, cara ini hanya untuk Linux saja. Untuk windows banyaklah scriptnya. Script malware ini sebenarnya sudah disediakan oleh team abuseat, salah satu DNSBL host yang peduli akan dunia email yang terkotori oleh spam.

Tanpa bertele-tele ria lagi, mari kita siapkan alat dan bahan. Eh lebih bagus kalau praktik langsung. Biasanya email dengan queue tinggi dan sering mandek aktivitas emailnya, biasanya ada malware script atau backdoor yang tersembunyi.

Download script pembasmi malware versi abuseat terlebih dahulu. Biar lebih gampang kita taruh di /root saja ya. Kemudian kita chmod.

cd /root
wget http://www.abuseat.org/findbot.pl
chmod +x findbot.pl

Kemudian kita definisikan folder document rootnya. Untuk pengguna Plesk / Odin control panel, website terdapat di /var/www/vhosts/domain/ . Sedangkan untuk pengguna cPanel, website folder terdapat di /home/username/public_html. Sedangkan untuk apache biasa biasanya di /var/www/html/.

Kita mulai dengan scan pertama kita. Syntaxnya sebagai berikut:

./findbot.pl <path>

Dimana path adalah definisi dari direktori domain folder yang akan kita scan. Namun, kalau kita eksekusi command di atas pada terminal SSH, maka sudah pasti akan di flood tulisan berceceran di screen kamu, oleh karena itu kita modifikasi sedikit.

./findbot.pl /var/www/vhosts/domain/ > /root/log1

Dengan begini, file yang akan di scan akan di ringkas menjadi 1 file saja bernama log1 yang berada pada direktori /root/log1. Setelah dijalankan silakan tunggu 1-3 menit.

Setelah selesai proses scanningnya, mari kita lihat filenya.

less /root/log1

Kemudian akan tampil hasil scan dari script ini. Perlu diingat! File yang terindex pada file hasil scan bukan berarti file tersebut 100% malware. Script findbot.pl hanya mencari regexe kecocokan dengan nama-nama familiar seperti c99, r57, hacker, base64_decode, dll saja.

Sebagai contoh hasil scan malware valid 100% malware (klik gambar untuk memperbesar):

Berikut adalah hasil contoh scan malware yang tidak valid 100%, dengan kata lain BUKAN malware (klik gambar untuk memperbesar).

Dari sini bisa kita simpulkan, kalau file tersebut benar-benar malware, biasanya selalu ada kode random yang memang benar-benar random, contoh: $hx3kt9, $8zvi, dll. Kebanyakan file yang tertangkap berakhiran php. Biasanya prefix nama filenya bernama dir1.php, share4.php, fix.php dll yang namanya gak jelas deh.

Sedangkan untuk file yang bukan malware, biasanya yang tertangkap berakhiran .css .jpg .txt dan lainnya. Namun pada beberapa kasus, ada file backdoor yang ditemukan menggunakan akhiran .jpg Jika menemukan file jpg kemudian nama filenya mencurigakan, biasanya itulah backdoornya.

Kalau sudah ketemu, tinggal kita chmod saja filenya biar tidak bisa diakses. Kemudian jangan lupa untuk menghapus email queue pada server.

chmod 000 /path/to/file

Sekian dan teirma kasih. Tanya jawab silakan di komentar. Tolong diingat, mencari malware butuh kesabaran dan ketekunan ^^

Leave a Reply

Your email address will not be published. Required fields are marked *