Removing Backdoor

Sunday, January 3, 2010




Wadowww…kita punya shell ada backdoornya . Nakal banget yakz orang yang bikin backdoor di shell kita, palagi kalo shellnya beli ( meskipun pake cc orang.. :D ). So pasti rasanya kita strezzZZZ ( koq malah ngorok sehh ).


ok aja prend, di dunia cyber itu wajar sob. Disini saya mo kaseh sedikit solusinya..haiah koq malah sok banget jagoan sehh waakakakk.
Saya coba mengulas bagaimana cara meremove backdoor,tetapi sebelumnya mungkin perlu kita ketahui dahulu type - type backdoor yg sering digunakan:

1. /bin/login backdoor
2. sshd backdoor
3. /etc/passwd backdoor
4. Port backdoor

/bin/login backdoor
SSsstt…teliti dulu ada Trojannya or gak. Kalo ada bisa gawat tuch ?, untuk melihat bahwa /bin/login didalam box anda telah tertanam trojan gunakan command
# /bin/login dan hasilnya akan nampak:
/lib/ld-linux.so.2
__gmon_start__
libc.so.6
getenv
execve
perror
system
__deregister_frame_info
strcmp
exit
_IO_stdin_used
__libc_start_main
__register_frame_info
GLIBC_2.0
PTRh
DISPLAY
/bin/.login >> Ini dimana /bin/login yang asli berada
w3ar3hack3rz >> Nah ini dia backdoor passwordnya
/bin/sh
Untuk menghilangkan /bin/login backdoor, ketik command berikut:
rm /bin/login
mv /bin/login


sshd backdoor
dasarnya, sshd process berjalan di background, dan bilamana kamu
melakukan command ps -aux, dan semua proses di background akan nampak,
namun sedikit sekali ssh backdoor akan kelihatan bila di ps, untuk
mengatasinya gunakan salah satu trik dengan command:
tail -5 /etc/rc.d/rc.sysinit
# Now that we have all of our basic modules loaded and the kernel going,
# let's dump the syslog ring somewhere so we can find it later
dmesg > /var/log/dmesg
/usr/info/.t0rn/sharsed >> menunjukkan ssh backdoor
Untuk menghapusnya, del /usr/info/.t0rn/sharsed dan
rm /usr/info/.t0rn/sharsed;killall -9 sharsed

/etc/passwd backdoor
Backdoor ini biasa digunakan oleh seorang hacker untuk melakukan login dengan su atau dengan kata lainyna root
dan backdoor ini sebernarnya sangat mudah untuk dideteksi.
gunakan command:
cat /etc/shadow
/etc/passwd yang asli akan kelihatan seperti berikut:
operator:*:11164:0:99999:7:::
games:*:11164:0:99999:7:::
dan bila /etc/passwd telah terbackdoor akan nampak seperti berikut:
operator:$1$Qv0h4mTr$0dKXLXYIy74LH93tCTayU1:11179:0:99999:7:-1:-1:134537332
untuk menghilangkan, edit account list pada /etc/passwd dan kembalikan
pada bentuk yang pertama sebelum terbackdoor

Port backdoor
para intruder biasanya menaruh port backdoor seperti berikut:
1008 stream tcp nowait root /bin/sh sh -i didalam /etc/inetd.conf
hilangkan dengan delete/remove /etc/inetd.conf dan restart kembali
inetd dengan:
/etc/rc.d/init.d/inet restart

Sekian dulu dari saya, mungkin tutorial ini sudah usang sehingga rekan – rekan sudah ngerasa bosan dengan hal tersebut. Karena apalah arti seorang newbie seperti saya, banyak rekan – rekan yang lebih jago. Maju terus #balihack. Salam maniez buat rekan – rekan semua.

1 komentar:

BeDa said...

Tutorial yang canggih.

Salam ukhuwah

Post a Comment

Note: Only a member of this blog may post a comment.