2008/6/13 Adhy <[EMAIL PROTECTED]>: > > All, > > Server saya (bukan saya yg pasang, bukan saya yg configure, bukan juga > saya yg monitor, tp saya yg kena pulung :p), has been compromised. > saya coba ikutin langkah2 yg disarankan CERT di [1] tp kurang puas > karena belum dapat root cause-nya. coba pake chkrootkit hasilnya > nihil. > > ada saran buat mitigasi hal ini ? server RHEL 4 dipakai buat sistem > monitoring VOIP.
Coba pakai Helix[1] untuk melakukan forensics. Ada beberapa trojan yang setelah hidup di RAM lalu binary/scriptnya dibuang, sehingga tidak akan/sulit ditemukan lagi jejaknya apabila diperiksa offline. Yang ini, mesti disalin online seluruh isi RAM. Kalau mesin bisa dimatikan untuk diperiksa lebih lanjut, clone HDnya, lalu periksa clone-nya. -- andika [1] http://www.e-fense.com/helix/ -- Right or wrong my list. Unsubscribe option is currently unavailable. Indeed, it's available upon request .. but: cepek dulu donk!
