Sebuah program jahat (malware) diketahui beredar di komputer server berbasis Linux. Malware ini merupakan hasil modifikasi Secure Shell Protocol (SSH) yang berfungsi sebagai backdoor di server Linux.
Secure Shell Protocol (SSH) sendiri merupakan sebuah protokol di Unix yang digunakan untuk melindungi dan mengamankan komunikasi data, me-manage remote server hingga transfer file. Fungsi ini membuat protokol SSH memiliki akses ke data di dalam server.
Lebih lanjut disebutkan, perusahaan antivirus Eset mendeteksi malware tersebut sebagai Linux/SSHDoor.A. Dalam keterangan resmi yang diterima Liputan6.com, Senin (28/1/2013), malware ini dirancang untuk mencuri data-data penting seperti username dan password.
Advertisement
Selain itu Linux/SSHDoor.A juga dirancang agar mampu mengakses server yang terinfeksi secara remote dengan menggunakan hardcoded password atau SSH key.
Saat daemon diaktifkan, backdoor akan mengirimkan informasi alamat IP dan port service mana yang sedang running, beserta hostname servernya. Kemudian, ketika user sudah login ke server yang terinfeksi, maka username dan password secara otomatis akan terkirim ke remote server.
Backdoor Linux/SSHDoor.A mampu menginfeksi host server dengan dua cara. Pertama, dengan memasukan hard-coded password ke dalam code. Jadi saat user login ke server menggunakan password tersebut, ia secara otomatis akan membukakan akses ke server untuk pelaku.
Kedua, binary yang sudah dimodifikasi akan membawa SSH key. Jadi jika user login ke server dengan menggunakan private key yang berhubungan dengan hard-coded public key, ia secara otomatis akan memberikan akses ke pelaku pengirim backdoor yang mengendalikan remote server.
Yudhi Kukuh selaku Technical Consultant Eset Indonesia mengatakan, tidak mudah untuk memastikan bagaimana SSH daemon yang telah berubah menjadi Trojan ini masuk dan menginfeksi server.
Salah satu kemungkinannya adalah karena aplikasi yang digunakan sudah out of date (perlu update/patching), atau password yang lemah. Biasanya server Linux yang sudah terinfeksi ini banyak digunakan sebagai bot atau source untuk menginfeksi server berbasis OS lain. (DEW)