Pengetahuan

Mengatasi Chinese Chicken Multiplatform DoS botnets

Pagi ini saya dapat notifikasi surel dari Alibaba Cloud Security Center bahwa ada Trojan terdeteksi di salah satu server yang saya tangani. Pastinya mata langsung seger donk ketika membaca pesan seperti ini. Ketika saya cek laptop dan benar saja resource server menjadi tinggi dan tidak bisa login SSH. Akhirnya saya melakukan troubleshooting dan berikut cerita saya mengatasi Chinese Chicken Multiplatform DoS botnets Trojan.

Apa Itu Chinese Chicken Multiplatform DoS botnets?

Chinese Chicken Multiplatform DoS botnets adalah sebuah trojan yang cukup merepotkan memakan resource yang cukup tinggi. Trojan ini melakukan serangan DoS ke server lain menggunakan server kita . Karena bersifat serangan DoS maka trafik jaringan juga tidak terkendali. Untunglah saya melakukan limitasi kecepatan bandwidth, kalau tidak mungkin bulan ini saya tidak gajian karena tagihan server bengkak.

Hal yang mengesalkan dari trojan ini adalah walau kita sudah melakukan kill process namun tetap saja dia menggandakan diri dan membuat proses lain. Selain itu nama proses yang digunakan juga cukup membuat kita terkecoh seperti who, whoami, sh, dan beberapa perintah linux lainnya.

Saya sendiri menyadari ini adalah trojan dan melakukan proses yang mencurigakan karena mendapatkan notifikasi dari Alibaba Cloud Security Center. Pesan ini muncul ratusan kali dalam waktu 1 malam namun saya abaikan saja karena hanya server development dan baru diperbaiki karena gak bisa masuk ssh😂

Alibaba Cloud Security Center mendeteksi adanya trojan pada server
Alibaba Cloud Security Center mendeteksi adanya trojan pada server

Tahapan Membersihkan Server dari Trojan

1. Masuk ke Server dan Identifikasi Proses

Bagi teman-teman yang sudah pasti terkena serangan silahkan skip bagian ini dan langsung ke tahap 2. Silahkan masuk ke server teman-teman sekalian, apakah bisa? Kalau bisa bersyukurlah namun harusnya tidak bisa karena trafik jaringannya penuh jadi silahkan langsung ke ruangan server dan masuk ke server pakai cara fisik 😁. Kebetulan saya pakai AlibabaCloud jadi bisa masuk dengan metode VNC yang cukup membantu. Jika sudah lihat proses dengan menggunakan htop atau aplikasi sejenis dan lihat proses yang memakan CPU paling tinggi pasti terlihat familiar macam perintah linux biasa.

Ciri-ciri dari trojan ini adalah membuat proses di /usr/bin/ dan menjalakannya menggunakan cron. Tetapi teman-teman tidak bisa menghapus proses di /usr/bin karena akan membuat lagi dan lagi. Selain itu teman-teman juga bisa melihat ada berkas gcc.sh pada direktori /etc/cron.hourly yang terlihat seperti ini:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so.6
/lib/libudev.so.6

Coba lihat juga pada berkas /etc/crontab/ ada baris tambahan dari trojan untuk menjalan berkas gcc.sh yang di atas

*/3 * * * * root /etc/cron.hourly/gcc.sh

Kalau teman-teman menemukan hal tersebut dipastikan server terkena trojan Chinese Chicken Multiplatform DoS botnets.

2. Menghentikan proses secara bertahap

Temukan PID pada trojan dengan menggunakan htop, sebagia contoh misal PID proses tersebut adalah 3746 lalu hentikan dengan perintah berikut

kill -STOP 3746

Sekarang hapus terlebih dahulu berkas gcc.sh dengan perintah

rm -f /etc/cron.hourly/gcc.sh

Selanjutnya hapus berkas-berkas mencurigakan yang bagian dari proses, teman-teman bisa menemukan di dengan perintah ls -hlt /etc/ini.d/ seperti berikut:

[email protected]:~# ls -hlt /etc/init.d/
total 164K
4.0K drwxr-xr-x 2 root root 4.0K Sep 8 09:36 .
4.0K drwxr-xr-x 92 root root 4.0K Sep 8 09:36 ..
4.0K -rwxr-xr-x 1 root root 323 Sep 8 09:36 lnhgzvtwvh
4.0K -rwxr-xr-x 1 root root 323 Sep 8 09:33 dthelekwyf
4.0K -rwxr-xr-x 1 root root 323 Sep 8 09:10 ghuvnuzbvn
4.0K -rwxr-xr-x 1 root root 2.2K Sep 6 23:20 aegis
8.0K -rwxr-xr-x 1 root root 4.2K Aug 7 22:44 php7.3-fpm
4.0K -rwxr-xr-x 1 root root 1.4K Feb 17 2020 unattended-upgrades

Jika sudah hapus berkas seperti lnhgzvtwvh, karena menggunakan perintah ls -hlt maka seharusnya berkas trojan ada di urutan paling atas. Lakukan juga pada berkas yang ada di direktori /usr/bin/. Terakhir hapus berkas yang menjadi bagian dari trojan dengan perintah

rm -f /lib/libudev.so

3. Lindungi SSH

Langkah terakhir adalah agar semoga tidak terjadi lagi adalah dengan melindungi SSH. Membaca-baca dokumentasi orang lain tampaknya virus ini masuk menggunakan SSH sehingga teman-teman disarankan menggunakan private key untuk masuk ke dalam server. Saya juga menyimpulkan demikian karena sebelum terjadinya trojan ini saya mendapati ada notifikasi dari Alibaba Cloud Security Center bahwa kata sandi server saya telah di-crack cuman saya tidak perhatikan.

Demikian cerita saya tentang mengatasi Chinese Chicken Multiplatform DoS botnets Trojan, jika mengalami pengalaman serupa namun tidak bisa diperbaiki dengan senang hati saya dapat dihubungi melalui kolom komentar 😍.

Sumber
https://www.botconf.eu/