Tools dan Playbook Praktis Membasmi Shell Backdoor

6ickzone 0

Tools & Playbook Praktis Membasmi Shell Backdoor

Author: 0x6ick

Artikel ini adalah lanjutan dari Anatomi & Deteksi Dini Shell Backdoor. Jika kau belum membaca bagian itu, disarankan untuk mulai dari sana dulu.

🔧 Pendahuluan: Waktunya Kotor-kotoran Tangan

Setelah memahami konsep dan gejala keberadaan web shell di Bagian sebelumnya, kini saatnya kita bertindak. Artikel ini adalah playbook teknis yang akan memandu Anda melalui proses deteksi aktif, forensik, pembersihan, dan penguatan pertahanan server. Siapkan terminal Anda.

1. Deteksi Cepat (Active Hunting Checklist)

  • Periksa Akses Log: Cari permintaan GET/POST ke file yang tidak dikenal, terutama yang berakhir dengan .php, .asp, dll. Perhatikan juga User-Agent yang aneh. grep -E "POST|GET" /var/log/httpd/access.log | grep ".php"
  • Cari File yang Baru Dimodifikasi: Cari file yang diubah dalam 7 hari terakhir di direktori web utama. Direktori upload adalah tersangka utama. find /var/www/html -type f -mtime -7
  • Monitor Koneksi Keluar: Lihat koneksi jaringan aktif dari server. Cari koneksi ke IP atau port yang tidak Anda kenali. netstat -tunapl
  • Gunakan Aturan YARA: YARA adalah alat untuk mengidentifikasi file berdasarkan pola teks atau biner. Gunakan ruleset publik yang dirancang khusus untuk mendeteksi web shell.
  • Jalankan Scanner Malware: Gunakan tools yang dirancang untuk ini. maldet -a /var/www/html atau clamscan -r /var/www/html

2. Langkah Kritis: Isolasi & Forensik

Sebelum menghapus apa pun, urutan ini sangat penting untuk investigasi dan mencegah kerusakan lebih lanjut.

  1. Isolasi Server: Putuskan koneksi server dari internet publik atau aktifkan mode maintenance. Ini mencegah penyerang menghapus jejaknya.
  2. Buat Snapshot: Ambil image dari disk atau VM snapshot. Ini adalah "TKP" digital Anda. Semua analisis harus dilakukan pada salinan ini, bukan di server produksi.
  3. Kumpulkan Bukti: Salin semua log relevan (access.log, error.log, auth.log), direktori web, crontab, dan daftar proses yang sedang berjalan.
  4. Buat Hash File Mencurigakan: Sebelum dianalisis atau dihapus, catat hash (misal, SHA256) dari file shell. Ini berguna untuk pelacakan dan pelaporan. sha256sum shell.php > hashes.txt

3. Pembasmian: Menghapus Shell & Menutup Pintu Belakang

Menghapus file shell saja tidak cukup. Anda harus menemukan dan menutup mekanisme persistensinya.

  • Cari Titik Persistensi:
    • Periksa Crontab pengguna web dan root: crontab -l -u www-data
    • Periksa skrip startup seperti /etc/rc.local dan file systemd.
    • Cari file .htaccess yang dimodifikasi secara aneh.
    • Periksa apakah ada user baru atau kunci SSH yang tidak dikenal di ~/.ssh/authorized_keys.
  • Proses Pembersihan Aman:
    1. Backup file shell yang ditemukan (untuk analisis nanti), lalu hapus dari server.
    2. Hapus mekanisme persistensi yang Anda temukan (cron job, user, dll).
    3. Ganti semua kredensial: Password database, user admin, kunci API, password FTP/SSH.
    4. Identifikasi dan PATCH celah keamanan yang menjadi vektor masuk awal.
    5. Jika infeksi sudah parah, pertimbangkan untuk restore dari backup yang dijamin bersih.

4. Pemulihan & Hardening (Agar Tidak Terulang)

  • Nonaktifkan Eksekusi PHP di Folder Upload: Ini adalah langkah hardening yang sangat efektif.
  • Perketat Hak Akses File (Permission): Pastikan direktori tidak bisa ditulisi oleh pengguna web (permission 755 untuk folder, 644 untuk file).
  • Gunakan WAF (Web Application Firewall): Untuk memfilter request berbahaya sebelum mencapai server Anda.
  • Terapkan File Integrity Monitoring: Gunakan tools seperti AIDE atau Tripwire untuk memberi notifikasi jika ada file inti yang berubah.
  • Audit Rutin: Lakukan penetration testing dan audit kode secara berkala.

playbook_cepat.sh (Ringkasan Aksi)

  1. Detect: Anomali performa & file.
  2. Isolate: Putuskan dari jaringan.
  3. Snapshot: Buat salinan image disk.
  4. Collect: Kumpulkan log & artefak.
  5. Identify: Cari titik masuk & persistensi.
  6. Remove: Hapus shell & backdoor.
  7. Rotate: Ganti semua kredensial.
  8. Patch & Harden: Tutup celah & perkuat sistem.
  9. Monitor: Awasi dengan ketat.

⚠️ Penutup

Tugas Blue Team bukan hanya menghapus shell—tapi menutup celah, memulihkan integritas, dan memastikan pelaku tidak bisa kembali. Simpan bukti, dokumentasikan setiap langkah, dan lakukan analisis post-mortem untuk perbaikan berkelanjutan. Perburuan tidak pernah benar-benar berakhir.

Tags

6ickzone

I've been deep in the world of cybersecurity, crypto, AI, and hacking for years. This blog is where I share my journey, tools, tips, and everything I learn along the way. But beyond code and exploits, there's also rhythm. I'm also exploring the digital soundscape — producing beats, fusing dark tech vibes with trap, drill, and EDM. Music is my second language, and it's where I channel the energy of the underground digital world. From my early days as a defacer to my current focus on ethical hacking and experimental music, I’m building 6ickzone as a hybrid space where hacking meets art. Why 6ickzone? 6ickzone is more than just a blog — it's a realm where hackers, beatmakers, and digital renegades gather. Whether you're here for the tools or the tunes, welcome to the zone.

Post a Comment

Posting Komentar

Lebih baru Lebih lama

Mengenai Saya

Foto saya
6ickzone
I've been deep in the world of cybersecurity, crypto, AI, and hacking for years. This blog is where I share my journey, tools, tips, and everything I learn along the way. But beyond code and exploits, there's also rhythm. I'm also exploring the digital soundscape — producing beats, fusing dark tech vibes with trap, drill, and EDM. Music is my second language, and it's where I channel the energy of the underground digital world. From my early days as a defacer to my current focus on ethical hacking and experimental music, I’m building 6ickzone as a hybrid space where hacking meets art. Why 6ickzone? 6ickzone is more than just a blog — it's a realm where hackers, beatmakers, and digital renegades gather. Whether you're here for the tools or the tunes, welcome to the zone.
Lihat profil lengkapku

Cari Blog Ini

About