Fix Unix Trojan.DDoS_XOR-1 di VPS dan Dedicated Server

Hallo,

Pada kesempatan kali ini kami akan membahas tentang issue Trojan Ddos pada VPS atau Dedicated Server. Namun sebelum masuk pembahasan, berikut kami informasikan indikasi Trojan Ddos yaitu :

1. Pada VPS/DS linux yang sudah terinfeksi Trojan.ddos ketika melakukan perintah top untuk monitoring akan muncul proses2 random seperti Xdrgwdjd,  jjiiyaykzg
2. Monitoring traffic Int Transit lebih tinggi dari biasanya bahkan bisa mencapai lebih dari 100mb
Issue ini biasanya di sebabkan oleh :
1. Password masih menggunakan password yang gampang atau default
2. System di linux yang tidak up-to-date
Baik, jika sudah jelas dengan indikasi dan penyebab issue  Trojan Ddos pada VPS. berikut kami juga akan menginformasikan langkah melakukan penanganan issuenya 🙂
A. Kita cek terlebih dahulu aktivitas issuenya di server anda dengan langkah :
1. lihat proses yang ada pada VPS/DS tersebut dengan menginputkan perintah
ls -la /etc/cron.hourly/
2. Jika terdapat trojan.ddos maka akan ada file dengan ekstensi .sh, maka fix vps/ds sudah terkena troja.ddos. untuk gambar di atas menggambarkan bahwa server dalam kondisi aman 🙂

3. Untuk memastikannya lihat isi file yang ada di list dengan menginputkan perintah

cat /etc/cron.hourly/namafile

Contoh terdapat pada gambar dibawah ini :

4. Isi file pada gambar termasuk file aman dan salah satu  contoh file yang terkena virus DDos trojan akan menampilkan tampilan berikut :
cat /etc/cron.hourly/namafile
#! / Bin / sh
PATH = / bin: / sbin: / usr / bin: / usr / sbin: / usr / local / bin: / usr / local / sbin: / usr / X11R6 / bin
for i in `cat / proc / net / dev | grep: | awk -F: {‘print $ 1’}`; do ifconfig $ i up & done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6
File tersebut adalah file trojan.ddos yang akan di generate setiap 3 menit sekali karena sudah tertanam di crontabnya
B. Jika sudah jelas terdapat file yang yang termasuk file trojan, langkah  Untuk Penanganannya adalah sebagai berikut : 
1. Jalankan perintah berikut untuk melakukan disable modify cron sementara waktu agar tidak melakukan overwrite file crontab
chmod 0 /etc/cron.hourly/gcc.sh; chattr +ia /etc/cron.hourly/gcc.sh;  chattr + i /etc/crontab
2. Cari PID dari malware yang ada dengan menjalankan perintah top untuk mengetaui PID dari proses tojan.ddos
3. Selanjutnya lakukan Kill PID dari file malware dengan perintah berikut
kill -STOP 16621
Note : 16621 adalah Contoh PID yang ada di vps yang sudah terkena trojan, PID bisa berbeda2 lihat di proses top
4. Langkah selanjutnya yaitu cari semua file yang berhubungan dengan trojan.ddos dengan perintah :
find /etc -name ‘* mtyxkeaofa *’ | xargs rm -f
Note : “mtyxkeaofa” adalah contoh nama proses dari trojan.ddos
Jika memang terdapat beberapa file yang terkena malware, maka file-file tersebut akan otomatis terhapus 🙂
5. Jika tahapan sudah di lakukan dan sudah tidka di temukan proses dari trojan.ddos lakukanlah tahapan pengamanan di VPS/DS dengan cara :
– Ganti root password
– Update VPS/DS
– Reboot