Server cloud dapat disusupi oleh berbagai faktor:kata sandi yang lemah, tabel ip yang lemah, versi perangkat lunak lama dengan eksploitasi yang diketahui, dan sebagainya.
Jika server cloud Anda telah disusupi, jangan panik. Kepanikan mengarah pada keputusan yang buruk, yang dapat memperburuk situasi. Sebagai gantinya, cobalah untuk memahami apa yang terjadi dan pastikan bahwa server cloud Anda tidak lagi disusupi dengan cara yang sama. Tujuan artikel ini adalah untuk membantu Anda belajar dari kesalahan Anda dan menghindari mengulangi kesalahan yang sama.
Artikel ini menjelaskan beberapa teknik dan alat yang dapat Anda gunakan untuk menyelidiki server Anda jika Anda mencurigai bahwa mereka telah disusupi. Anda harus menggunakan alat ini sebelum masuk ke mode penyelamatan (tinjau Memeriksa kompromi keamanan:Penyelidikan mode penyelamatan untuk informasi lebih lanjut tentang mode penyelamatan). Server cloud yang digunakan untuk artikel ini menjalankan Ubuntu® 8.10. Namun, langkah-langkah yang ditunjukkan serupa untuk distribusi Linux® lainnya.
Peringatan penting
Sebelum melanjutkan, Anda harus membuat keputusan penting. Apakah Anda berencana untuk melibatkan penegak hukum dan mengadili penyerang? Jika ya, tinggalkan sistem yang dikompromikan itu dan jangan membuat perubahan padanya. Perubahan apa pun yang Anda buat setelah serangan dapat mencemari bukti dan memperumit penyelidikan. Karena itu, kebijakan umum adalah mematikan sistem setelah terdeteksi adanya penyusupan dan membiarkannya mati sampai penegak hukum siap untuk menyelidikinya.
Periksa koneksi jaringan
Mulailah penyelidikan Anda dengan memeriksa koneksi jaringan server cloud Anda.
Gunakan netstat -an perintah, yang menghasilkan output yang mirip dengan contoh berikut, untuk memeriksa pintu belakang yang terbuka di server cloud Anda.
netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 284 1.2.3.4:6697 5.6.7.8:34506 ESTABLISHED
Dalam contoh ini, port 6697 terbuka. Port ini biasa digunakan oleh server Internet Relay Chat (IRC). Kecuali Anda menjalankan server obrolan Anda sendiri, ini bukan pertanda baik. Anda dapat menemukan koneksi apa pun ke port tersebut dengan menggunakan tcpdump berikut ini perintah:
tcpdump src port 6697
Perintah ini menangkap semua paket dengan port tujuan 6697.
Gunakan lsof
Banyak sistem berbasis UNIX® menggunakan daftar file yang terbuka (lsof ) utilitas baris perintah untuk melaporkan daftar semua file yang terbuka dan proses yang membukanya. Secara default, Linux memperlakukan semuanya, termasuk perangkat, sebagai file. Ini membuat lsof alat yang sangat ampuh.
Tidak semua mesin virtual (VM) memiliki lsof diinstal secara default, jadi Anda mungkin harus menginstalnya dengan menggunakan yum atau apt-get jika Anda melihat tanggapan berikut:
-bash: lsof: command not found
Misalnya, Anda dapat menggunakan lsof untuk melihat pengguna mana yang membuka file tertentu:
sudo lsof /etc/passwd
Jika Anda menemukan nama pengguna di bawah kendali penyusup, Anda dapat menggunakan lsof untuk menampilkan semua proses yang dijalankan oleh penyusup:
sudo lsof -u hisUserName
lsof juga membantu Anda memeriksa koneksi jaringan Anda. Menyelidiki berbagai aspek server cloud Anda dengan beberapa alat penting karena jika Anda mencurigai sistem disusupi, Anda tidak dapat memastikan perintah mana yang akan memberikan hasil yang andal. Juga, lsof menyediakan beberapa opsi yang netstat tidak.
Untuk membuat daftar semua soket Protokol Internet (IP) terbuka yang terkait dengan server Secure Shell (SSH) server cloud Anda, jalankan perintah berikut:
sudo lsof -i:22
Ringkasan
Dalam artikel ini, Anda mempelajari beberapa teknik untuk menemukan pintu belakang dan melacak penyusup di server Anda. Teknik-teknik ini membantu Anda menghindari pengulangan situasi atau kesalahan apa pun yang menyebabkan kompromi, sehingga Anda cenderung tidak diretas lagi dengan cara yang sama. Di artikel berikutnya, Memeriksa gangguan keamanan:Penyelidikan mode penyelamatan, Anda akan mempelajari cara menyelidiki server cloud Anda dalam mode penyelamatan.