Membersihkan shv5 rootkit
linux, percobaan Juli 30th, 2008Setelah bermain-main dengan shv5 rootkit yang sudah dipasang, sekarang bagaimana membersihkannya ??
Kalau bertanya-tanya ke om google biasanya jawaban yang didapat adalah 3R (Reformat, Repartition, Reinstall). Kalau udah server yang kena rootkit solusi 3R akan dikesampingkan terlebih dahulu (really pain in the a**). Alternatif lainnya adalah 2M, menghapus dan memperbaiki file-file yang diganti dan ditambahkan oleh si rootkit ini. Nah silahkan pilih mana yang terbaik utnuk sistem anda, 3R atau 2M 
??
Kalau anda memilih 2M berarti bersiap-siap untuk menjelajah seluruh sistem anda.
Untuk memmulainya petakan seluruh file yang diganti dan ditambahkan oleh si rootkit. Kemudian tutup backdoor yang sedang berjalan, untuk mengetahuinya bisa gunakan netstat. Nah, masalahnya rootkit ini mengganti netstat dengan filenya sendiri, jadi bagaimana mau menggunakan netstatnya ?? Sebetulnya rootkit ini setelah mengganti perintah dasar linux dia juga melakukan backup terhadap file yang digantinya di /usr/lib/libsh/.backup/. Untuk menggunakan netstatnya bisa langsung mengeksekusi ke direktori tersebut.
/usr/lib/libsh/.backup/netstat -pln | grep tty
Kalau sudah bisa melakukan netstat analisa servis yang berjalan khususnya jika diketemukan servis ttymon/ttyload. Jika terdapat servis tersebut berjalan maka itulah backdoornya, matikan proses tersebut. Lakukan sekali lagi dan juga lakukan nmap kemudian periksa adakah port aneh yang terbuka. Jika servis tersebut sudah terbunuh buka /etc/inittab, kemudian cari baris yang berisi ttyload/ttymon. Kalau sudah ketemu silahkan berikan tanda # di awal baris tersebut (a.k.a di comment) supaya ketika restart tidak jalan lagi servisnya. Jika sudah yakin bahwa tidak ada servis berjalan atas nama ttyload/ttymon maka pembersihan bisa dilanjutkan.
Selanjutnya kembalikan dahulu perintah dasar yang diganti, filenya berada di /usr/lib/libsh/.backup/. Jika langsung dikembalikan akan menampilkan permission denied. Ini karena rootkit sudah mengubah atribut file tersebut menjadi immutable. Agar bisa dikembalikan filenya ubah dulu atribut filenya dengan :
chattr -isa
Atribut file yang diubah bukan yang berada di .backup tapi yang terganti. Misalnya ketika ingin mengembalikan ls maka ubah dulu atribut file /bin/ls kemudian pindah file ls yang berada di .backup ke /bin/. Lakukan untuk semua file yang berada di .backup. Setelah selesai memindahkan kemudian hapus file-file yang dimasukkan oleh rootkit. File-filenya antara lain :
|-- dev
| |-- srd0
|-- etc
| |-- sh.conf
|-- lib
| |-- libsh.so/
| |-- libproc.a
| |-- libproc.so.2.0.6
| |-- lidps1.so
|-- sbin
| |-- ttyload
| |-- ttymon
|-- usr
| |-- include
| | |-- file.h
| | |-- host.h
| | |-- log.h
| | |-- proc.h
| |-- lib
| | |-- libsh/
| |-- sbin
| | |-- ttyload
Jika anda ragu buat backup dari file-file tersebut jikalau nantinya terdapat masalah. Setelah file-file tersebut sudah terhapus lakukan pemeriksaan dengan rootkit hunter seperti rkhunter atau chkrootkit, apakah masih terdeteksi rootkit tersebut ??
Inilah cara saya untuk membersihkan rootkit jenis shv5, anda punya saran atau kritik terhadap cara yang saya lakukan ?? atau anda punya cara lain ?? silahkan tinggalkan di komentar, saya akan senang sekali menerimanya 
Popularity: 24% [?]
Juli 31st, 2008 at 07:34
kalau aku jelas akan menggunakan 3R, biar mantep. dari awal aku akan rancang sistem seaman mungkin dari “ketuk pintu”, “mbobol”, sampe “nyuri perabotan”
Juli 31st, 2008 at 07:36
kalau aku jelas akan menggunakan 3R, biar mantep
dari awal saat akan melakukan 3R, aku rancang sistem seaman mungkin dari “ketuk pintu”, “mbobol”, sampe “nyuri perabotan”, bisa saja sekalian optimasi sistem
Juli 31st, 2008 at 07:59
Nothing’s perfect. Lagipula sistem ini yang yang buat dirimu :p
Agustus 2nd, 2008 at 23:35
Wah mantap infonya. Thanks.
Agustus 5th, 2008 at 10:33
saya pake mindows jeh :p