Beranda / cybersecurity / forensik / incident-response / linux / malware

Analisis Serangan Botnet Mirai terhadap Server Ubuntu dan Strategi Mitigasinya

webmaster
Analisis Serangan Botnet Mirai terhadap Server Ubuntu

Dalam beberapa tahun terakhir, botnet Mirai menjadi salah satu ancaman paling aktif yang menyerang server dan perangkat Internet of Things (IoT). Di Indonesia, sejumlah insiden menunjukkan peningkatan serangan berbasis Mirai terhadap server Ubuntu yang belum diamankan dengan baik. Artikel ini mengulas bagaimana infeksi terjadi, bukti forensik yang biasa ditemukan, serta langkah-langkah mitigasi yang efektif untuk mencegah dampak lebih lanjut.

Pola Infeksi dan Payload Mirai

Mirai dikenal karena memanfaatkan kombinasi brute-force login SSH dan eksploitasi layanan terbuka. Begitu berhasil masuk, malware akan men-download payload ke direktori sementara seperti /tmp atau /var/tmp, kemudian mengeksekusinya untuk menjadikan host sebagai bagian dari jaringan botnet.

Karakteristik Umum

  • Menjalankan proses anonim seperti /tmp/.x atau /bin/.sshd.
  • Membuka koneksi TCP ke port kontrol (biasanya 23, 48101, atau 1338).
  • Menghapus file setelah eksekusi untuk menghindari deteksi.
  • Menonaktifkan utilitas sistem seperti wget dan curl agar pesaing tidak dapat menginfeksi host yang sama.

Analisis Forensik dan Jejak Log

Jejak serangan Mirai biasanya dapat ditemukan pada log SSH dan proses jaringan. Berikut contoh potongan log dari sistem Ubuntu yang terinfeksi:

Oct 12 08:12:44 ubuntu sshd[1253]: Failed password for root from 103.152.117.45 port 59812 ssh2
Oct 12 08:12:47 ubuntu sshd[1253]: Failed password for root from 103.152.117.45 port 59812 ssh2
Oct 12 08:12:51 ubuntu sshd[1253]: Accepted password for root from 103.152.117.45 port 59812 ssh2
Oct 12 08:13:02 ubuntu systemd[1]: Started suspicious process /tmp/.X11unix

Proses forensik dapat dilakukan dengan memeriksa koneksi aktif:

sudo lsof -i -n -P | grep ESTABLISHED

dan memastikan tidak ada binary berbahaya di /tmp:

sudo find /tmp -type f -exec file {} \; | grep ELF

Langkah Mitigasi dan Pencegahan

  1. Gunakan opsi mount aman untuk direktori sementara:
    sudo mount -o remount,noexec,nosuid,nodev /tmp
  2. Batasi login SSH root dengan mengubah file /etc/ssh/sshd_config dan set PermitRootLogin no.
  3. Gunakan firewall dan rate-limiting pada port SSH.
  4. Pasang fail2ban atau CrowdSec untuk mendeteksi brute-force login.
  5. Audit direktori sementara secara berkala: 
    sudo lsof +D /tmp
“Langkah paling penting dalam mitigasi botnet Mirai bukan hanya menghapus malware, tetapi menutup vektor infeksi agar sistem tidak dapat diserang kembali.”

Penguatan SSH dan Monitoring Jaringan

Administrator disarankan menggunakan autentikasi berbasis kunci publik dan mengaktifkan IDS seperti OSSEC untuk mendeteksi aktivitas mencurigakan secara dini. Lalu lintas outbound dari server ke port yang tidak lazim juga harus dimonitor menggunakan iftop atau nethogs.

Kesimpulan & Rekomendasi

Botnet Mirai membuktikan bahwa keamanan dasar seperti hardening SSH, pembatasan eksekusi di direktori sementara, dan pemantauan jaringan secara berkelanjutan adalah langkah vital bagi keamanan server. Di lingkungan akademik maupun industri, pendekatan berlapis terhadap keamanan menjadi satu-satunya cara untuk menahan laju infeksi yang semakin canggih.

Penulis: Cahyo Darujati

Pelajari lebih lanjut di cybersecurity.or.id.