                                                                       __     
                                                                __    /\ \    
  ___     ___ ___      __     __      __          ___   _ __   /\_\   \_\ \   
 / __`\ /' __` __`\  /'__`\ /'_ `\  /'__`\       / __`\/\`'__\ \/\ \  /'_` \  
/\ \L\ \/\ \/\ \/\ \/\  __//\ \L\ \/\ \L\.\_  __/\ \L\ \ \ \/ __\ \ \/\ \L\ \ 
\ \____/\ \_\ \_\ \_\ \____\ \____ \ \__/.\_\/\_\ \____/\ \_\/\_\\ \_\ \___,_\
 \/___/  \/_/\/_/\/_/\/____/\/___L\ \/__/\/_/\/_/\/___/  \/_/\/_/ \/_/\/__,_ /
                              /\____/                                         
                              \_/__/                                          

OMEGA|ZINE RELEASE 
        01
						  
Author: unsuprise
Life @  http://www.unsuprise.org
Rumpun @ http://www.omega.or.id

== recovery server yg di hack ==


Pengantar

Tulisan ini berdedikasi bagi anda yang berhubungan di dalam administrator
server linux dan semua orang yang mau belajar masalah security IT . 
Tulisan ini di buat mengacu untuk mengamankan atau merecovery server anda 
yang telah di hack oleh hacker (white,black,gray). Kata mengamankan di atas 
bukan berarti dengan membaca semua tulisan ini server anda akan menjadi 
aman 100%, jika mau aman 100% jangan gunakan komputer tapi gunakan mesin ketik 
(mengutip kata kata s'to di bukunya :D )


Langsung saja >>

Disini kita umpamakan server yang di hack adalah server Linux (all Tipe). Ehm.!!!

1. Instalasi OS baru.
Dalam melakukan instalasi ulang server linux. Pada tahap pemilihan menu tekan Alt+F2 
untuk mendapatkan shell. 
Mount halaman HDD misal /dev/sda1 (SATA) Atau /dev/hda(IDE) ke /tmp/hda1.

---------
#mkdir /tmp/hda1 (Membuat direktori)
#mount /dev/sda /tmpt/hda1 (Mount Direktori)
#cd /tmp/hda1 (Masuk ke dalam Direktori)
#mkdir .old (membuat direktory bernama .old)
#chmod 700 .old (Membuat permision atau hak akses file tersebuat)
#mv *.old (Memindahkan semua file ke dalam direktory .old)
#ls -al (Pastikan semua file yang ada di dalam folder .old)
#cd .. (Keluar)
#unmount /tmp/hda1 (Unmount Direktori)
---------

Jika didalam server memiliki pastisi backup. misal /dev/sdb1 sebaiknya melakukan 
isolasi semua file file yang ada dalam sebuah direktori misal .old.

Warning: Hati hati jangan sampai menghapus atau memformat hdd anda.


2. Menjinakkan data lama
Jika sudah melakukan Instalasi OS. Restart.!!!! Waiting!!!!
Sekarang waktunya membedah data data lama dengan maksud untuk menyelamatkannya ::... 
Ok. >> Bep Bep.

Cari file file setuid-root(File ini kemungkinan besar merupakan backdoor yang 
memungkinkan si hacker memperoleh root kembali)

#cd /root
#find ./old -type f -uid 0 -perm /u+s > setuid.txt
#find ./old -typr f -uid 0 -perm /g+s > setgid.txt

Setelah mendapatakan dan mengamati setuid.txt kita bisa menghapus atau mematikan 
setuid bit pada file file yang terdaftar di setuid.txt tersebut.

#rm /.old/home/t10000/home/root

atau

#chmod 0 /.old/home/t10000/home/root


Warning :
Cukup file setuid-root di dalam data user saya misal : /home/username yang perlu 
kita waspadai untuk tidak tetap menjadi setuid-root saat kita pasang di luar .old nanti. 
File .old/bin old/sbin dsb tidak akan kita gunakan karena kita sudah menginstall ulang OS. 
Tetapi jika ada nama yang aneh maka kita bisa melihat pola sang hacker yang memilih 
file file yang merupakan file setuid-root. (amati-cari-dan ganti)-<<maksa abis yah!!!


3.Restore data user

I. account unix (etc/passwd,etc/shadow,etc/group,etc/gshadow)
II. data user (home/username)
II. crontab user (/var/spoll/cron/crontabs/username)

Diatas list yang akan kita restore.!

I.Untuk etc/passwd;
#cd /.old/etc
# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/passwd

untuk etc/shadow
# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/shadow

untuk etc/group

# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/group

untuk etc/gshadow

# perl -lne '/^([^:]+):[^:]+(\d+)/; print if $2>0 and -d "/.old/home/$1"' passwd; #>>/etc/gshadow

Warning : 
Periksa kembali dengan perintah "ls -l /.old/home/user" apakah semua file user uid 
dan gid-nya telah terpetakan dengan benar ke /etc/passwd dan /etc/group. Jika masih 
ada yang numerik berarti ada yang belum terpetakan.!

II. Untuk me-restore data use cukup pindah kan selayaknya copy paste saja dari /.old/home/* ke /home/.

III. Untuk me-restore crontab pindahkan file crontab milik user yang ada di ./old/var/spool/cron/crontabs/ 


4. Reset Password
#( cd /home: for u in *; do echo "$u: `makepasswd`"; done)> passwords.txt

#chpasswd -m <passwd.txt

Cara di atas mereset semua password user yang memiliki home di/home/username lalu meresetnya. 
menggunakan program makepasswd dan chpasswd. Kalau aplikasi manajeman server ex:Control Panel 
memiliki fasilitas reset password massal dan bisa mengirimkan email dan lain lain silahkan gunakan di sini..

Semua cara ini bukan untuk mengamankan server anda menjadi 100% aman ingat!!! . 
Semua ini hanya langkah!! Meminimalisir ketika server anda di hack oleh hacker (black while or gray).

Referensi
- google
- astalvista
- indonesia it security.

Terima kasih. !! >> Allah S.W.T. Semua teman seperjuangan dan 1 hobby. 
                    omega.or.id ,unsuprise.org,echo.or.id, jasakom.com,
                    yogyafree.net,seckurityonline,etc.!! 
                    Terima kasih banyak banyak>!!!!!!