Hunting malware in LINUX case study CentOS 6

Assalamualaikum,

Selamat malam semuanya. Malam ini saya akan mencoba membahas beberapa cara mencari malware (termasuk malicious script) di dalam system operasi linux. Beberapa orang awam menyangka bahwa menggunakan sistem operasi non-windows adalah aman dari malware. Hal ini tidak sepenuhnya benar. Fakta lapangannya saya banyak menjumpai malware dan malicious script bertebaran berjalan pada sistem operasi Linux. Dan beberapa fakta lain adalah malware ini masuk kedalam system operasi Linux kebarnyakan bukan karena ada masalah keamanan dari operating system Linux sendiri, tapi melainkan masuk melalui celah keamanan pada aplikasi yang berjalan pada server tersebut.

Pada tulisan kali ini saya akan menulis beberapa cara untuk membantu kita menemukan malware dan malicious script pada sistem operasi Linux kita. Dibawah ini adalah beberapa tools yang biasa saya gunakan untuk mencari malware dalam system operasi Linux (jika ada yang mau menambahkan bisa isi komentar atau email saya di nashihunamien[at]nash-notes.com).

  • rkhunter (rootkit hunter)
  • maldet (Linux Malware Detect)
  • ClamAV

Mungkin beberapa dari kita sudah familiar dengan beberapa tools diatas seperti rkhunter atau clamav yang sudah sering digunakan. Lanjut kita bahas satu per satu. Seperti biasa saya menggunakan CentOS 6 + epel repo sebagai tempat testing saya.

  1. rkhunter

Rootkit Hunter atau lebih sering disebut dan dikenal dengan nama rkhunter adalah sebuat perangkat lunak yang sering digunakan oleh sistem administrator untuk melakukan pengecekan server apakah ada rootkit di dalam servernya atau tidak. Untuk instalasinya cukup mudah dengan menggunakan yum seperti biasa

# yum install rkhunter

rkhunter

Setelah selesai instalasi, untuk menjalankan rkhunter ini cukup mudah dengan perintah

#rkhunter –check

Maka rkhunter akan menjalankan proses mengerjakan pengecekan pada sistem operasi yang anda gunakan. Tunggu sekitar 5 menit sambil ngemil pisang goreng sama coklat panas.

2015-12-27_0456

Setelah proses pengecekan selesai maka anda akan disuguhi report dari hasil scan pada sistem operasi anda. Untuk membuka hasil scan dari rkhunter kita dapat membuka dengan aplikasi editor favorit dengan ke /var/log/rkhunter/rkhunter.log.

Jika anda penasaran lebih lanjut dengan rkhunter anda dapat mengunjungi URL rkhunter.sourceforge.net.

2. Malware Linux Detect

Malware Linux Detect disingkat LMD atau lebih mudah familiar disebut dengan maldet. Maldet ini adalah salah satu aplikasi favorit saya saat berburu malware karena maldet selain mempunya database sendiri, maldet dapat di integrasikan dengan database dari clamav dan ini menjadi salah satu fitur plus buat saya pribadi.

Langsung kita lanjut saja untuk melakukan instalasi kita dapat mengunduh maldet dari url

rfxn.com/projects/linux-malware-detect/

untuk mengunduh anda dapat menggunakan wget atau aplikasi favorit anda lainnya.

# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

Setelah berhasil mendownload dan mengekstrak file maldetect-current.tar.gz, masuklah kedalam direktori tersebut dan kita akan menemukan file bernama install.sh. File ini yang akan kita eksekusi untuk melakukan instalasi maldet.

# sh install.sh

2015-12-27_0538

2015-12-27_0538_001

ps : dalam contoh diatas saya sudah melakukan instalasi maldet sebelumnya dan akan keluar notifikasi bahwa maldet sudah terinstal.

Selanjutnya untuk menjalankan maldet scanning, kita dapat menggunakan berbagai kombinasi perintah yang ada. Perintah yang sering saya gunakan adalah

# maldet -a [direktori_tujuan]

2015-12-30_1905

Setelah hasil scanning selesai, cara untuk melihat hasil scannya bisa dilihat dengan perintah

# maldet –report [report_ID]

Cukup mudah bukan penggunaan maldet ini? Untuk fungsi lainnya bisa di eksplorasi rfxn.com/projects/linux-malware-detect/ atau dari man page.

3. ClamAV

Clamav adalah salah satu antivirus popular di linux karena jumlah databasenya sendiri yang terbilang cukup lengkap untuk menyaring malware dan integrasi clamav kedalam beberapa service.

Untuk instalasi clamav di CentOS kita bisa menggunakan perintah

# yum install clamav

Setelah selesai instalasi clamav, jangan lupa kita update terlebih dahulu database antivirus ini dengan perintah

# freshclam

Berapa lama untuk download tentu saja bergantung pada sehat tidaknya koneksi internet kita. Karena saya running di server datacenter tentu tak memakan waktu lama cukup 1 menit untuk update database clamav ini.

Untuk menjalankan scan sendiri saya menggunakan perintah dibawah ini dengan ” -r ” sebagai opsi untuk scan secara recursive.

# clamscan -r /home/

Ada banyak sekali opsi yang bisa kita gunakan dan kombinasikan. Untuk mempelajarinya kita bisa melihat dengan opsi ” –help ” seperti biasanya. Untuk bahan bacaan lebih lanjut kita bisa melihat pada URL www.unixmen.com.

Sepertinya cukup sekian dulu tulisan saya tentang mencari malware di sistem operasi CentOS 6. Jika ada kritik dan saran bisa anda emailkan ke nashihunamien[at]nash-notes.com.

Wassalamualaikum n pareng~

nash-notesLinux, Practice, SecurityDecember 26, 20150 comments0 centos 6, linux, malware, scan.

Hey, like this post? Why not share it with a buddy?

Leave a Comment

Your email address will not be published. Required fields are marked *