ClamAV: Difference between revisions
No edit summary |
No edit summary |
||
| Line 4: | Line 4: | ||
<syntaxhighlight lang="shell"> | <syntaxhighlight lang="shell"> | ||
sudo apt update | sudo apt update | ||
</syntaxhighlight><syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
<syntaxhighlight lang="shell"> | |||
sudo apt-get install clamav clamav-daemon | sudo apt-get install clamav clamav-daemon | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 16: | Line 18: | ||
<syntaxhighlight lang="shell"> | <syntaxhighlight lang="shell"> | ||
sudo systemctl stop clamav-freshclam | sudo systemctl stop clamav-freshclam | ||
</syntaxhighlight><syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
<syntaxhighlight lang="shell"> | |||
sudo freshclam | sudo freshclam | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 25: | Line 29: | ||
Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif. | Selain itu, install htop untuk memudahkan dalam membaca proses yang sedang aktif. | ||
Install htop di [[CentOS]]<syntaxhighlight lang="shell"> | Install htop di [[CentOS]] | ||
<syntaxhighlight lang="shell"> | |||
yum install htop -y | yum install htop -y | ||
</syntaxhighlight>Install htop di Debian/[[Ubuntu]]<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Install htop di Debian/[[Ubuntu]] | |||
<syntaxhighlight lang="shell"> | |||
sudo apt install htop -y | sudo apt install htop -y | ||
</syntaxhighlight>Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]]<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Jalankan perintah berikut untuk melihat proses apa saja yang sedang berjalan di system [[Linux]] | |||
<syntaxhighlight lang="shell"> | |||
htop | htop | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 35: | Line 49: | ||
==Scan Virus dan Malware== | ==Scan Virus dan Malware== | ||
Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code><syntaxhighlight lang="shell"> | Jika sudah terinstall, lakukan scanning virus dan malware di server Linux dengan ClamAV, dengan cara sebagai berikut, contoh di direktori <code>/home</code> | ||
<syntaxhighlight lang="shell"> | |||
clamscan -ri /home | clamscan -ri /home | ||
</syntaxhighlight><syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
<syntaxhighlight lang="shell"> | |||
clamscan -ri /root | clamscan -ri /root | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| Line 52: | Line 70: | ||
Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option <code>–remove</code>, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan. | Saat proses scanning dapat langsung dihapus oleh ClamAV dengan menambahkan option <code>–remove</code>, tetapi cara ini kita lewati mengingat jika ada virus lebih dari satu dan ClamAV tidak mendeteksinya secara keseluruhan. | ||
Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja.<syntaxhighlight lang="shell"> | Sehingga, ketika ada file yang terinfeksi ditampilkan, terlebih dahulu masuklah ke direktori dimana file berada dan jangan terburu-buru untuk dihapus. Biasanya virus tersebut sudah menggandakan diri dan biasanya jika di web hosting berekstensi .php tapi dengan nama samaran menyerupai file script <code>PHP</code> yang ada di server dan juga acap kali menggunakan abjad acak susah dieja. | ||
<syntaxhighlight lang="shell"> | |||
TXrBPv | TXrBPv | ||
php | php | ||
| Line 58: | Line 78: | ||
php | php | ||
.pid | .pid | ||
</syntaxhighlight>File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80. | </syntaxhighlight> | ||
File malware pernah dijumpai dengan ukuran yang sama yaitu 7mb. Jenis malware ini memanfaatkan server untuk ngeflood/melakukan spam ke server lain, mudah dilihat prosesnya dengan command LiSt Open Files alias <code>lsof</code> dengan filter port 80. | |||
Pada web [[WordPress]], untuk file-file [[WordPress]] regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya. | Pada web [[WordPress]], untuk file-file [[WordPress]] regular dengan file virus/malware ataupun file script WP yang sudah terinfeksi, dapat dilihat dari nama file/isi kodenya. | ||
Menghapus virus dan malware | Menghapus virus dan malware | ||
Gunakan perintah <code>rm</code> untuk menghapus secara manual semua file yang terinfeksi<syntaxhighlight lang="shell"> | Gunakan perintah <code>rm</code> untuk menghapus secara manual semua file yang terinfeksi | ||
<syntaxhighlight lang="shell"> | |||
rm -rf TXrBPv .pid dan_file_seterusnya | rm -rf TXrBPv .pid dan_file_seterusnya | ||
</syntaxhighlight>Gunakan perintah htop atau ps untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Gunakan perintah htop atau ps untuk melihat prosesnya. Jika masih jalan, di kill . Misal nama malwarenya TXrBPv | |||
<syntaxhighlight lang="shell"> | |||
ps -ef | grep 'TXrBPv' | ps -ef | grep 'TXrBPv' | ||
</syntaxhighlight>Setelah tampil PID nya langsung di kill, contoh<syntaxhighlight lang="shell"> | </syntaxhighlight> | ||
Setelah tampil PID nya langsung di kill, contoh | |||
<syntaxhighlight lang="shell"> | |||
kill -9 12986 | kill -9 12986 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
[[Category:Security]] | [[Category:Security]] | ||
[[Category:Linux]] | [[Category:Linux]] | ||