Anti Brontok pada server samba sharing

Brontok bisa dibilang virus yang menghebohkan selain bisa menjadi siluman dengan konsep social engineering ( bener ga sih istilahnya itu ?? CMIIW ) memanfaatkan kelengahan pemakai windows xp. Nah, virus ini ternyata menyebar lewat jaringan. Dia mengcopykan dirinya ke komputer lain dalam jaringan yang membuka sharingnya dan menyamar sebagai folder di komputer tersebut. Parahnya ketika ada komputer yang terinfeksi sama brontok maka komputer tersebut akan nge-ping ke situs-situs tertentu. Gara-gara brontok juga kaskus memindahkan domainnya dari .com menjadi .us karena servernya terinfeksi oleh brontok ( hostingnya pake windows toh ).
Nah susahnya klo kita membuka samba share di linux maka jelas oleh brontok dikenali sebagai sebuah sharing dari os windows dan masuklah ia. Memang sih ga ada pengaruh apa-apa di os linux tapi kan para client windows pada komplen semua. Jadi ceritanya ada server linux yang dibikin samba share biar orang-orang kalau mau ngasih file ke bagian lainnya tinggal copy ajah ke server samba trus tempat lainnya tinggal ambil deh. Nah, ketika ada brontok di dalemnya ada yang protes : “Mas, itu servernya kena brontok mas install ulang aja deh !!!” maklum pada ga tau klo itu linux. Yah biar menyenangkan pelanggan ya diformat tuh server ( alias dihapus semua file di samba sharenya ). Tapi trus puter otak gimana caranya biar ga ngendon di server samba.

Beberapa cara menghindari brontok ngendon di samba share :

Karena brontok spesifik dengan size tertentu maka pakai crontab untuk cari file dengan size x kemudian hancurkan. Cara ini memang ampuh untuk mengusir biang brontok. Namun karena orang pada copy program-program disana ( untuk kasusku ) maka ga sengaja file .dll yang ukurannya sama dengan brontok ikut terhapus juga. dan juga karena banyaknya varian brontok menyebabkan crontabnya menjadi semakin panjaaaang…. Berikut cuplikan dari crontab-nya :

3 * * * * root /bin/find /mnt/windows/windows/ -size 42539c -print0 | /usr/bin/xargs -0 /bin/rm
3 * * * * root /bin/find /mnt/windows/windows/ -size 42583c -print0 | /usr/bin/xargs -0 /bin/rm
3 * * * * root /bin/find /mnt/windows/windows/ -size 42698c -print0 | /usr/bin/xargs -0 /bin/rm
Setelah menjelajah dunia maya akhirnya ketemu alternatif lain pakai brontok remover shell script dari Priyadi . Tapi tetep pakai crontab namun crontabnya cuman dipakai buat manggil script remover brontok tersebut. Nah, jadinya crontabnya isinya tetap dikit tapi script brontoknya puuanjaaang bgt ( biarin deh dari pada pake cara pertama mesti bilang mas admin dulu klo mo nambah varian brontok, soalnya pake crontabnya root dan cuman dikasih sudo ). Nah, kalau mo nambahin varian lagi tinggal cari spesimen brontok di md5 kan trus masukin ke script tambah baris baru dan selesai. Berikut cuplikan scriptnya :

MD501=f316c8b7d797aef765679d0d33f09542
SIZE01=229376

MD502=902792c0116adf49f55f111e82c81db0
SIZE02=81920

find /mnt/ -type f -iregex ‘.*\.exe$’ -size ${SIZE01}c -print0 \
| xargs -0 md5sum \
| grep “^$MD501″ \
| sed -e ’s/^[a-z0-9]* *//g’ -e “s/^/’/g” -e “s/$/’/g” \
| xargs -n1 rm -f

find /mnt/ -type f -iregex ‘.*\.exe$’ -size ${SIZE02}c -print0 \
| xargs -0 md5sum \
| grep “^$MD502″ \
| sed -e ’s/^[a-z0-9]* *//g’ -e “s/^/’/g” -e “s/$/’/g” \
| xargs -n1 rm -f

Jadi di crontabnya hanya tinggal memanggil script diatas. Saya menamakan script diatas dengan hapus-brontok.sh. Cuplikan di crontabnya :

*/3 * * * * root /bin/bash /mnt/windows/hapus-brontok.sh

Sampai sekarang sih so far so good tinggal mencari spesimen brontok lainnya ( jangan kirimi saya file brontok yah ). Untuk codenya tinggal modifikasi dari tempatnya priyadi. variabel md5 nya dibuat banyak. Misal : MD501, MD502. Trus script utamanya juga diperbanyak sejumlah spesimen md5 brontoknya. ~~Contoh kodenya menyusul, lagi males ssh ke server nich~~. Semoga membantu dan selamat mencoba.

Popularity: 7% [?]

Written by Yuda

September 15th, 2006 at 8:56 pm

Posted in GNU/Linux