Beranda / forensik / gafgyt / hardening / incident response / kaiten / malware / mirai / ubuntu security

Analisis & Mitigasi: Malware Mirai / Kaiten / Gafgyt — Deteksi, Forensik, dan Pencegahan

webmaster
Analisis Serangan Botnet Mirai pada Server Ubuntu

Analisis Serangan Botnet Mirai pada Server Ubuntu

Dalam beberapa tahun terakhir, serangan botnet Mirai dan turunannya seperti Kaiten serta Gafgyt terus menargetkan server berbasis Linux, termasuk Ubuntu. Di Indonesia, banyak insiden menunjukkan bahwa sistem dengan konfigurasi default masih rentan terhadap eksploitasi layanan seperti SSH dan Telnet.

Pola Infeksi dan Payload Mirai

Botnet Mirai bekerja dengan memindai alamat IP publik untuk menemukan perangkat atau server dengan kredensial lemah. Setelah berhasil login, malware akan mengunduh payload biner ke direktori sementara, seperti /tmp, dan menjalankannya sebagai proses latar belakang.

Varian Kaiten dan Gafgyt biasanya menggunakan teknik serupa, namun menambahkan kemampuan tambahan seperti injeksi shell, komunikasi command-and-control (C2), dan serangan DDoS berbasis UDP atau TCP flood.

Indikasi Infeksi dan Bukti Log

Pada server Ubuntu yang terinfeksi, beberapa gejala umum antara lain peningkatan beban CPU, koneksi outbound mencurigakan, serta file biner anonim di direktori /tmp atau /var/run.


root@ubuntu:~# ls -l /tmp
-rwxr-xr-x 1 root root  68432 Oct 13 10:44 .mirai
-rwxr-xr-x 1 root root  51200 Oct 13 10:45 .update

Log SSH juga menunjukkan upaya login otomatis dari alamat IP acak dengan username seperti root, admin, atau test.

Langkah Mitigasi dan Pencegahan

  1. Isolasi sistem terinfeksi. Cabut koneksi jaringan untuk mencegah komunikasi C2.
  2. Analisis proses mencurigakan. Gunakan perintah ps aux | grep tmp untuk melacak eksekusi malware.
  3. Bersihkan file temporer. Hapus biner berbahaya dan kosongkan direktori /tmp.
  4. Nonaktifkan eksekusi di /tmp. Ubah opsi mount menjadi noexec,nosuid di /etc/fstab.
  5. Perbarui sistem dan ubah kata sandi. Pastikan SSH hanya menggunakan kunci publik, bukan login password.

Penguatan SSH

Batasi akses SSH hanya dari alamat IP tepercaya, aktifkan Fail2ban, dan ubah port default 22 menjadi nomor acak. Hal ini menurunkan peluang brute-force otomatis dari botnet.

Pemantauan Lalu Lintas Jaringan

Gunakan alat seperti iftop atau ntopng untuk memantau lalu lintas keluar. Botnet Mirai sering mengirim paket dalam volume besar ke port 23, 80, atau 443.

“Server yang dikeraskan dengan prinsip keamanan dasar akan jauh lebih tahan terhadap serangan botnet massal.”

Kesimpulan & Rekomendasi

Serangan Mirai dan variannya membuktikan pentingnya hardening sistem dan pembaruan rutin. Sysadmin perlu menonaktifkan eksekusi di direktori sementara, memperkuat autentikasi SSH, serta memantau log sistem secara aktif.

Penulis: Admin Cybersecurity.or.id

Label: cybersecurity, malware, linux, forensik, incident-response

Pelajari lebih lanjut di cybersecurity.or.id.