[root@blah]# ls -l log/ | wc -l
2041335
It wont work if you just remove it with rm because there will be an error message (i.e. /bin/rm: Argument list too long). So how to remove it ?? I use this command to remove it
[root@blah]# find ./ -name ‘msg.*’ | xargs rm -fv
I’m using msg.* becasue the filenames I want to remove begin with msg.. You can vary it depend on your need.
A rootkit is a program (or combination of several programs) designed to take fundamental control (in Unix terms “root” access, in Windows “Administrator” access) of a computer system, without authorization by the system’s owners and legitimate managers.
Nah, salah satu rootkit yang kemarin sempat kenalan namanya adalah SHV5. Rootkit ini ketika dipasang akan mengganti beberapa perintah dasar yang ada di sistem dengan file yang ada pada paket rootkit ini. Perintah dasar yang diganti oleh shv5 ini antara lain ls, top, ps, dan netstat. Selain mengganti perintah dasar rootkit ini juga menanam sebuah backdoor. Kalau melihat scriptnya secara default backdoor ini dibuat untuk listening di port 1990 dan password defaultnya adalah westside.
File-file yang muncul akibat shv5 rootkit adalah sebagai berikut :
|-- dev
| |-- srd0
|-- etc
| |-- sh.conf
|-- lib
| |-- libsh.so/
| |-- libproc.a
| |-- libproc.so.2.0.6
| |-- lidps1.so
|-- sbin
| |-- ttyload
| |-- ttymon
|-- usr
| |-- include
| | |-- file.h
| | |-- host.h
| | |-- log.h
| | |-- proc.h
| |-- lib
| | |-- libsh/
| |-- sbin
| | |-- ttyload
Untuk memasang rootkit ini hanya tinggal mengeksekusi file setup dan tidak lupa root yang mengeksekusinya. Setelah terpasang silahkan coba ssh ke port 1990 atau port lain yang ditentukan sendiri. Bisa bukan ??
Ciri-ciri sistem yang terpasang rootkit adalah ketika mengeksekusi perintah top maka keluarannya akan ada tambahan seperti :
Unknown HZ value! (75) Assume 100.
Cara lain untuk mengetahui adanya rootkit di dalam sistem adalah dengan menggunakan pemburu rootkit seperti rootkit hunter (rkhunter) atau chkrootkit. Program tersebut bisa mengenali berbagai macam rootkit. Dari kedua program tersebut yang paling mudah dipakai (menurut saya) adalah rkhunter. Rkhunter ini juga bisa berjalan sebagai daemon.
Sebelum memulai mengkonfigurasi install terlebih dahulu vsftpd di mesin anda. Untuk pengguna debian/ubuntu silahkan ketikkan kata sakti di terminal anda
apt-get install vsftpd
Setelah terinstall baru kita lakukan konfigurasi. File konfigurasi vsftpd di debian/ubuntu ada di /etc/vsftpd.conf, silahkan buka dengan editor teks favorit anda. Nah, disini saya copy-paste (salin-tempel) saja konfigurasi vsftpd saya yang memungkinkan user anonymous dan non-anonymous bisa login bersamaan.
# Run standalone? vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=YES
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
# Uncomment this to allow local users to log in.
local_enable=YES
# Uncomment this to enable any form of FTP write command.
write_enable=YES
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
# Activate logging of uploads/downloads.
xferlog_enable=YES
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
anon_root=/media/ftp
Kurang lebih seperti itu file konfigurasi vsftpd saya. Opsi anon_root untuk mendeklarasikan folder chroot untuk user anonymous. Selebihnya silahkan disesuaikan.