Menu Close

BRUTEFORCE | Menjadi mangsa BOTNET

Considering donating if you found my post helpful ๐Ÿ˜Š

Buy Me a Coffee QR Code
[![](https://dausruddin.com/wp-content/uploads/2014/05/brute_force.png)](https://dausruddin.com/wp-content/uploads/2014/05/brute_force.png)

Apa yang ingin saya kongsikan di sini bukanlah panduan lengkap *bruteforcing*, tetapi saya ingin berkongsi pengalaman yang telah saya lalui baru-baru ini supaya menjadi pengajaran kepada anda. Saya memiliki sebuah *server* yang saya gunakan untuk *host**static-page website* serta beberapa *php script* yang memanipulasikan youtube API.

Pada lebih kurang seminggu yang lalu, saya menyedari penggunaan CPU yang tinggi pada server saya itu. Saya menyedarinya apabila saya melihat data yang dipaparkan pada Status Server. Jadi saya login ke server saya tersebut lalu membuat pemeriksaan ringkas. Kemudian saya menemui sesuatu yang ganjil

[![](https://dausruddin.com/wp-content/uploads/2014/05/GQK67bK.png)](https://dausruddin.com/wp-content/uploads/2014/05/GQK67bK.png)

Perasankah anda akan proses **b26h** ?
Proses tersebut akan mati dan hidup semula sepanjang masa.

Kemudian saya login ke server panel dan mendapati 700GB telah digunakan. Saya berasa pelik kerana tidak mungkin static-page website menggunakan bandwidth sebanyak itu dalam hanya kurang satu minggu.

[![](https://dausruddin.com/wp-content/uploads/2014/05/D2D2sr1.png)](https://dausruddin.com/wp-content/uploads/2014/05/D2D2sr1.png)

Lalu saya cuba membuat carian ringkas di [Google.com](http://google.com/) dan [ini salah satu carian](http://superuser.com/questions/695876/is-root-b26-a-ddos-process) yang menarik perhatian saya.
Saya perhatikan lebih terperinci dan menemui proses bernama **b26.**

[![](https://dausruddin.com/wp-content/uploads/2014/05/4xQvEvL.png)](https://dausruddin.com/wp-content/uploads/2014/05/4xQvEvL.png)

Sah, saya menjad mangsa botnet. Saya juga menjumpai fail **b26** serta **b26h **di dalam *directory */root/
Lalu saya cuba untuk mencari cara bagaimana virus tersebut boleh memasuki /root/ pada *server* saya.
Dan saya jumpai ini

[![](https://dausruddin.com/wp-content/uploads/2014/05/l5aN3dP.png)](https://dausruddin.com/wp-content/uploads/2014/05/l5aN3dP.png)
[![](https://dausruddin.com/wp-content/uploads/2014/05/nmFJ7Zx.png)](https://dausruddin.com/wp-content/uploads/2014/05/nmFJ7Zx.png)
[![](https://dausruddin.com/wp-content/uploads/2014/05/j72M4Zx.png)](https://dausruddin.com/wp-content/uploads/2014/05/j72M4Zx.png)
[![](https://dausruddin.com/wp-content/uploads/2014/05/NNh7hcY.png)](https://dausruddin.com/wp-content/uploads/2014/05/NNh7hcY.png)

Beberapa ip dari CHINA ( [60.173.26.90](http://www.ipaddresslocation.org/ip-address-locator.php?lookup=60.173.26.90) โ€“ [58.83.146.252](http://www.ipaddresslocation.org/ip-address-locator.php?lookup=58.83.146.252) โ€“ [42.62.17.250](http://www.ipaddresslocation.org/ip-address-locator.php?lookup=42.62.17.250) ) telah melakukan *bruteforcing* terhadap *server* saya. Bukan sahaja SSH tetapi SMTP juga diserang.

Untuk pengetahuan anda, proses b26 dan **b26h **digunakan untuk melakukan serangan DDOS ke atas server yang lain. Server saya hanyalah mangsa.

Kerana pengalaman ini, saya telah mula meningkatkan keselamatan semua server saya.
Saya juga telah membuat panduan asas keselamatan Ubuntu 12.04. Ini kerana saya tidak mahu antara anda menjadi mangsa seperti saya.

Saya berharap tiada antara anda yang mengambil mudah hal-hal seperti ini. Ini kerana, yang ruginya adalah anda. Dan, sekiranya anda mempunyai GLYPE atau apa-apa *proxy script, *pastikan anda menyembunyikannya dari umum kecuali and mempunyai *bandwidth *dan penggunaan CPU yang tiada had. Ini kerana saya juga pernah menjadi mangsa penggunaan *glype proxy *yang berlebihan. Ini disebabkan saya memasang glype dan akhirnye tersebar di forum-forum CHINA.

Mereka menggunakan glype proxy tersebut untuk melepasi firewall negara mereka. Saya harapkan peristiwa yang berlaku pada saya ini tidak berlaku pada anda.

Ingat, sekiranya anda menjadi mangsa godaman, anda perlu melakukan fresh install dan elakkan menggunakan script yang ada pada server, sebagai alternatif gunakan script yang telah anda backup pada PC atau laptop anda.

Considering donating if you found my post helpful ๐Ÿ˜Š

Buy Me a Coffee QR Code
0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x