Wadowww…kita punya shell ada backdoornya . Nakal banget yakz orang yang bikin backdoor di shell kita, palagi kalo shellnya beli ( meskipun pake cc orang.. ). So pasti rasanya kita strezzZZZ ( koq malah ngorok sehh ).
Tenang & enjoy aja prend, karena itu semua adalah hal yang wajar di dunia cyber. Disini saya mo kaseh sedikit solusinya..ciee koq malah sok jagoan sehh.
Saya coba mengulas bagaimana cara meremove backdoor,tetapi sebelumnya mungkin perlu kita ketahui dahulu type - type backdoor yg sering digunakan:
1. /bin/login backdoor
2. sshd backdoor
3. /etc/passwd backdoor
4. Port backdoor
/bin/login backdoor
SSsstt…teliti dulu ada Trojannya or gak. Kalo ada bisa gawat tuch ?, untuk melihat bahwa /bin/login didalam box anda telah tertanam trojan gunakan command
# /bin/login dan hasilnya akan nampak:
/lib/ld-linux.so.2
__gmon_start__
libc.so.6
getenv
execve
perror
system
__deregister_frame_info
strcmp
exit
_IO_stdin_used
__libc_start_main
__register_frame_info
GLIBC_2.0
PTRh
DISPLAY
/bin/.login >> Ini dimana /bin/login yang asli berada
w3ar3hack3rz >> Nah ini dia backdoor passwordnya
/bin/sh
Untuk menghilangkan /bin/login backdoor, ketik command berikut:
rm /bin/login
mv
sshd backdoor
dasarnya, sshd process berjalan di background, dan bilamana kamu
melakukan command ps -aux, dan semua proses di background akan nampak,
namun sedikit sekali ssh backdoor akan kelihatan bila di ps, untuk
mengatasinya gunakan salah satu trik dengan command:
tail -5 /etc/rc.d/rc.sysinit
# Now that we have all of our basic modules loaded and the kernel going,
# let's dump the syslog ring somewhere so we can find it later
dmesg > /var/log/dmesg
/usr/info/.t0rn/sharsed >> menunjukkan ssh backdoor
Untuk menghapusnya, del /usr/info/.t0rn/sharsed dan
rm /usr/info/.t0rn/sharsed;killall -9 sharsed
/etc/passwd backdoor
Backdoor ini biasa digunakan oleh seorang hacker untuk melakukan login dengan su atau dengan kata lainyna root
dan backdoor ini sebernarnya sangat mudah untuk dideteksi.
gunakan command:
cat /etc/shadow
/etc/passwd yang asli akan kelihatan seperti berikut:
operator:*:11164:0:99999:7:::
games:*:11164:0:99999:7:::
dan bila /etc/passwd telah terbackdoor akan nampak seperti berikut:
operator:$1$Qv0h4mTr$0dKXLXYIy74LH93tCTayU1:11179:0:99999:7:-1:-1:134537332
untuk menghilangkan, edit account list pada /etc/passwd dan kembalikan
pada bentuk yang pertama sebelum terbackdoor
Port backdoor
para intruder biasanya menaruh port backdoor seperti berikut:
1008 stream tcp nowait root /bin/sh sh -i didalam /etc/inetd.conf
hilangkan dengan delete/remove /etc/inetd.conf dan restart kembali
inetd dengan:
/etc/rc.d/init.d/inet restart
Sekian dulu dari saya, mungkin tutorial ini sudah usang sehingga rekan – rekan sudah ngerasa bosan dengan hal tersebut. Karena apalah arti seorang newbie seperti saya, banyak rekan – rekan yang lebih jago. Maju terus #balihack. Salam maniez buat rekan – rekan semua.
Jumat, 06 Februari 2009
Removing Backdoor
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar