> teman-teman... > > setelah saya selidiki...sepertinya ada penyusup yang memasukkan script nya > ke file /etc/rc.d/rc.sysinit.... ++ penyusup udah punya root level ? :(
> dengan menjalankan script tersebut maka akan terjadi.. > file .bash_history terlink...file ini saya delete > kemudian ada file di /usr/sbin/sf0_cfg dan lain-lain yang saya lihat dengan > perintah "ls sf0*" > > nah sekarang mail servernya sepertinya aman...namun ...kayaknya penyusup itu > bisa masuk lagi...!!! > mungkin ada teman-teman yang tau dari mana dia bisa masuk...dan kenapa....?? ++ masuk via 'bd' kali yah ... coba di scan port dulu pakai nmap or portscanner laennya cari tau dulu semua port yg open (baik yg kelihatan maupun yg ngumpet) dah coba dipasang chkrootkit or rootkit hunter blom ? kedua software ini bisa sedikitnya bantu cari file atau directory yg gak lazim. seperti yg udah saya sebut sebelumnya misalnya bener yg dipasang itu diantaranya rootkit adore/adore-ng dia punya kemampuan utk jadi stealth juga bisa ngumpetin beberapa proses , file , direktori dsb berikut sedikit cuplikan dari feature yg ditawarkan adore-ng rootkit : o runs on kernel 2.4.x UP and SMP systems o runs on kernel 2.6.x UP and SMP systems, i386 and x86_64 archs tested o file and directory hiding o process hiding o socket-hiding (no matter whether LISTENing, CONNECTED etc) o full-capability back door o does not utilize sys_call_table but VFS layer o KISS principle, to have as less things in there as possible but also being as much powerful as possible o hides itself from /proc and /sys filesystems o syslog filtering: logs generated by hidden processes never appear on the syslog UNIX socket anymore o wtmp/utmp/lastlog filtering: writing of xtmp entries by hidden processes do not appear in the file, except you force it by using special hidden AND authenticated process (a sshd back door is usually only hidden thus xtmp entries written by sshd don't make it to disk) o (optional) relinking of LKMs as described in phrack #61 aka LKM infection to make it possible to be automatically reloaded after reboots (2.4.x only) Kalo gak salah ada juga removalnya, nama filenya "determine-xxxx.tgz" soal ampuh apa enggak saya blom pernah coba ... tapi utk difungsikan sebagai server lagi setelah 'compromised' agaknya riskan banget. salam, -rianu- -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis Tidak bisa posting? Baca: http://linux.or.id/problemmilis http://linux.or.id/tatatertibmilis
