Cara mencari lokasi shell backdoor melalui server

[nans]

Permisi.....
saya ingin bertanya seputar keamanan.... cara mencari letak shell backdoor yang ditanam oleh yang ngehack caranya gimana ya kalo via ssh di server... biar bisa dilihat dimana lokasi backdoornya kemudian kita bisa menghapusnya...


Mohon bimbingannya ya para master security hoster semua... maklum nubi... :o

 

[ngaco]

Permisi.....
saya ingin bertanya seputar keamanan.... cara mencari letak shell backdoor yang ditanam oleh yang ngehack caranya gimana ya kalo via ssh di server... biar bisa dilihat dimana lokasi backdoornya kemudian kita bisa menghapusnya...


Mohon bimbingannya ya para master security hoster semua... maklum nubi... :o

pake rkhunter atau chkrootkit ngaruh ga ya?

 

[atriumhosting]

Permisi.....
saya ingin bertanya seputar keamanan.... cara mencari letak shell backdoor yang ditanam oleh yang ngehack caranya gimana ya kalo via ssh di server... biar bisa dilihat dimana lokasi backdoornya kemudian kita bisa menghapusnya...


Mohon bimbingannya ya para master security hoster semua... maklum nubi... :o

paket LMD bang , Linux Malware Detect, utak atik configurationnya , run daily cron nya + setting emailnya,

jadi kalo ada shell tertangkap akan di email dan di infokan letak backdoornya .

Referensi : hxxp://www.rfxn.com/projects/linux-malware-detect/

 

[idcolo]

cara manualnya..

berikut beberapa perintah yang sering di gunakan sama si embah heker

passthru
shell_exec
system
phpinfo
base64_decode
chmod
mkdir
fopen
fclose
readfile

cara mencarinya

grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile) *\(" public_html/ >> hasil.txt

lihat hasilnya

# more hasil.txt

contoh barbutnya ada disini

public_html/wp-includes/backup.php:4418: @$passwd=fopen('/etc/passwd','r');
public_html/wp-includes/backup.php:4472: @$config=fopen($link,'r');
public_html/wp-includes/backup.php:4608: $fp = fopen($srcpath,"ab+");
public_html/wp-includes/backup.php:4620: fclose($fp);
public_html/wp-includes/backup.php:4678: $fp = fopen($srcpath,"ab+");

Contoh hasil yg di temukan

 

[nans]

pake rkhunter atau chkrootkit ngaruh ga ya?

Baik... saya coba dulu y ... makasih banyak sarannya..

 

[nans]

pake rkhunter atau chkrootkit ngaruh ga ya?

saya coba ya .... makasih banyak sarannya...

 

[nans]

paket LMD bang , Linux Malware Detect, utak atik configurationnya , run daily cron nya + setting emailnya,

jadi kalo ada shell tertangkap akan di email dan di infokan letak backdoornya .

wah... makasih bang... mantabs... ijin praktek dlu...

 

[nans]

cara manualnya..

berikut beberapa perintah yang sering di gunakan sama si embah heker



cara mencarinya


lihat hasilnya



contoh barbutnya ada disini


Contoh hasil yg di temukan
View attachment 871

Wah.... makasih banyak banget bang.... saya penasaran bener sama ini shell dimana nancepnya..... ijin praktek,..

 

[BennyKusman]

cara manualnya..

berikut beberapa perintah yang sering di gunakan sama si embah heker



cara mencarinya


lihat hasilnya



contoh barbutnya ada disini


Contoh hasil yg di temukan
View attachment 871

untuk full search, bisa di ketik juga:
grep -RPn "(passthru|shell_exec|system|phpinfo|base64_decode |chmod|mkdir|fopen|fclose|readfile) *\(" /home/*public_html/* >> hasil.txt

 

[nans]

cara manualnya..

berikut beberapa perintah yang sering di gunakan sama si embah heker



cara mencarinya


lihat hasilnya



contoh barbutnya ada disini


Contoh hasil yg di temukan
View attachment 871

Bang IDColo.... setelah saya coba caranya, kemudian saya lihat hasilnya pada file hasil.txt ternyata banyak sekali..... langkah selanjutnya bagaimana bang...