Samurai, Langkah pertama kamu harus menguasai server mu sendiri. Server yang aman adalah server yang 100 % berada di ruangan yang ditutup rapat, lalu server tersebut tidak terhubung ke jaringan. Ini hanya ideologi saja, persepsi server aman 100%
Tentunya tidak ada yang akan aman, karena toh server, berbagai kelengkapan daemon - daemon yang running di dalamnya adalah buatan manusia juga yang pasti tidak akan luput dari yang namanya BUG dan HOLE. Penyusup akan selalu memanfaatkan celah tersebut untuk masuk. Nah tugas kamu sekarang adalah mencari tahu si penyusup kira - kira masuk dari mana. # netstat -lnp untuk mengetahui port berapa saja yang dibuka diserver lalu dari sana bisa teliti lebih lanjut, port berapa saja yang memang daemonnya gak pernah diupdate lagi dan kemungkinan bolongnya ada. Carry on .. tapi menurut saya sih percuma kalau sudah kebobolan masih dipertahankan. Kalau saja ada backdoor akan lebih berbahaya. Yang penting kamu bisa cari tau port berapa masuknya si penyusup, install ulang lalu amankan dan buka hanya port2 yang kamu gunakan saja. Mudah - mudahan membantu .. - Rio.Martin - On Monday 07 March 2005 07:29, samurai wrote: > teman-teman... > > setelah saya selidiki...sepertinya ada penyusup yang memasukkan script nya > ke file /etc/rc.d/rc.sysinit.... > dengan menjalankan script tersebut maka akan terjadi.. > file .bash_history terlink...file ini saya delete > kemudian ada file di /usr/sbin/sf0_cfg dan lain-lain yang saya lihat dengan > perintah "ls sf0*" > > nah sekarang mail servernya sepertinya aman...namun ...kayaknya penyusup > itu bisa masuk lagi...!!! > mungkin ada teman-teman yang tau dari mana dia bisa masuk...dan > kenapa....?? > > makasih > > samurai > rgd > > dan kflush di foler /sbin saya delete dan script di rc.sysinit di paling > bawah saya hapus karena pada file sysinit inin > ----- Original Message ----- > From: "A. Uliansyah" <[EMAIL PROTECTED]> > To: <[email protected]> > Sent: Monday, March 07, 2005 2:06 PM > Subject: Re: [tanya-jawab] mail server di crack > > > Iya nih. > > Gimana caranya kita tahu si intruder masuk lewat mana. Rasanya itu > > perlu juga diketahui. Ntar udah capek2 buat yang baru, kalo tetep > > bolong, yaa kena lagi.. > > > > Masalahnya kan biasanya intruder masuk gak kliatan log. Atau bisa jadi > > udah dihapus log-nya. Gimana dong... > > > > Salam, > > A. Uliansyah > > > > > > On Mon, 7 Mar 2005 09:08:49 +0700, Rist. Andy Nugroho > > > > <[EMAIL PROTECTED]> wrote: > > > > heloo...teman-teman.. > > > > > > > > saya seminggu yang lalu baru buat mail server..akan tetapi pagi ini > > > > > > tepatnya > > > > > > > hari senin ketika saya cek email ...saya menerima sampai 9565 email > > > > postmaster yang mengatakan failure notice...dan banyak email yang > > > > > > ditujukan > > > > > > > ke admin atau postmaster domain saya...!!! > > > > > > > > Terus ketika saya login ke server mail saya ...saya ketikkan > > peritah..ps > > > > > xu..dan ada tulisan seperti berikut.... > > > > root # ps xu > > > > > > > > pts0 /l -h 208.189.209.14 -d 80 > > > > > > > > trus...pidnya saya kill...dan kemudian pc saya restart dan ada pesan > > > > errornya banyak sekali....yaitu adore not fond installed... > > > > padahal sebelumnya tidak ada apa-apa... > > > > > > ++ sepertinya ada yg pasang adore/adore-ng rootkit. > > > yg pernah saya baca rootkit ini bisa di-insmod ke kernel sebagai module > > > hati-hati ama hidden port ( tuk adore-ng defaultnya 2222 & 7350 ) > > > in example '2222' hides everything which belongs to port 2222. > > > coba install dan jalanin chkrootkit dan rootkit hunter (download > > > release > > yg > > > > terbaru) > > > > > > > saya curiga mail server saya telah di crak ama orang...!! > > > > apakah teman-teman pernah mengalami hal yang sama seperti ini...dan > > munkin > > > > > bisa memberikan masukan kepada saya..?? > > > > > > ++ kalo bisa cabut dulu kabel utp dari nic sembari nge-check > > > kalo ada hidupin server backup utk menggantikannya. > > > > > > salam, > > > -rianu- > > > > > > > > > -- > > > Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] > > > Arsip, FAQ, dan info milis di http://linux.or.id/milis > > > Tidak bisa posting? Baca: > > > http://linux.or.id/problemmilis > > > http://linux.or.id/tatatertibmilis > > > > -- > > http://auliansyah.is-a-geek.org > > Would setting wireless for food > > Would setting linux server for food > > Would setting warnet for food > > > > -- > > Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] > > Arsip, FAQ, dan info milis di http://linux.or.id/milis > > Tidak bisa posting? Baca: > > http://linux.or.id/problemmilis > > http://linux.or.id/tatatertibmilis -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis Tidak bisa posting? Baca: http://linux.or.id/problemmilis http://linux.or.id/tatatertibmilis
