Cara Mengatasi Malware tsm

About
Latest Posts

Follow me on

Technical Writer at JagoanHosting

Sultan Geraldo is a student who is currently doing an internship at JagoanHosting, he seeks to improve his personal experience in a productive enviroment while working as a Technical Writer due to his passion for Copywriting.

Follow me on

Latest posts by Sultan Geraldo (see all)

Cara Akses Elementor Lewat Handphone - November 17, 2022
Syarat Migrasi Email Google (Gmail) Ke Email Bisnis/Profesional - Oktober 31, 2022
Cara Pembayaran Melalui Alfamart Di Jagoan Hosting - Oktober 24, 2022

Pengantar

Malware, adalah sebuah software yang berjalan pada sistem kamu secara ilegal dan menyebabkan dampak buruk terhadap kinerja sistem kamu.

Daftar isi

TSM adalah sebuah malware yang melakukan penyerangan SSH ke server lain.

Ciri-Ciri

Ketika server di cek menggunakan TOP, ada proses mencurigakan seperti ini tsm

Penanganan

Langkah 1, Lakukan Pengecekan lebih detail

Untuk melakukan pengecekan secara detail, kamu bisa menggunakan cara ini:

root@vps1:/# lsof -p 12160

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

tsm 12160 ftpuser cwd DIR 182,622001 4096 397547 /tmp/.X25-unix/.rsync/c
tsm 12160 ftpuser rtd DIR 182,622001 4096 2 /
tsm 12160 ftpuser txt REG 182,622001 162632 397552 /tmp/.X25-unix/.rsync/c/lib/64/tsm
tsm 12160 ftpuser mem REG 182,622001 3150056 397574 /tmp/.X25-unix/.rsync/c/tsm64
tsm 12160 ftpuser mem REG 182,622001 101200 397553 /tmp/.X25-unix/.rsync/c/lib/64/libresolv.so.2
tsm 12160 ftpuser mem REG 182,622001 27000 397555 /tmp/.X25-unix/.rsync/c/lib/64/libnss_dns.so.2
tsm 12160 ftpuser mem REG 182,622001 47600 397554 /tmp/.X25-unix/.rsync/c/lib/64/libnss_files.so.2
tsm 12160 ftpuser mem REG 182,622001 97176 2365 /lib/x86_64-linux-gnu/libnsl-2.27.so
tsm 12160 ftpuser mem REG 182,622001 47576 6456 /lib/x86_64-linux-gnu/libnss_nis-2.27.so
tsm 12160 ftpuser mem REG 182,622001 39744 2366 /lib/x86_64-linux-gnu/libnss_compat-2.27.so
tsm 12160 ftpuser mem REG 182,622001 1868984 397550 /tmp/.X25-unix/.rsync/c/lib/64/libc.so.6
tsm 12160 ftpuser mem REG 182,622001 14608 397557 /tmp/.X25-unix/.rsync/c/lib/64/libdl.so.2
tsm 12160 ftpuser mem REG 182,622001 138696 397551 /tmp/.X25-unix/.rsync/c/lib/64/libpthread.so.0
tsm 12160 ftpuser 0r CHR 1,3 0t0 2508667555 /dev/null
tsm 12160 ftpuser 1w CHR 1,3 0t0 2508667555 /dev/null
tsm 12160 ftpuser 2w REG 182,622001 3235 397585 /tmp/.X25-unix/.rsync/1
tsm 12160 ftpuser 3r REG 182,622001 1763908 397599 /tmp/.X25-unix/.rsync/c/ip
tsm 12160 ftpuser 4u IPv4 2516306366 0t0 TCP vps1.linas-media.com:50588->104.219.42.128:ssh (ESTABLISHED)
tsm 12160 ftpuser 5u IPv4 2516306208 0t0 TCP vps1.linas-media.com:39498->188-130-25-240.phpnet.fr:ssh (ESTABLISHED)
tsm 12160 ftpuser 6u IPv4 2516306180 0t0 TCP vps1.linas-media.com:34482->unassigned.quadranet.com:ssh (SYN_SENT)
tsm 12160 ftpuser 7u IPv4 2516306227 0t0 TCP vps1.linas-media.com:34604->155.ip-54-37-64.eu:ssh (ESTABLISHED)
tsm 12160 ftpuser 8u IPv4 2516294269 0t0 TCP vps1.linas-media.com:54194->123.181.151.127:ssh (SYN_SENT)

Dari log di atas dapat dilihat jika user ftpuser disalahgunakan

Langkah 2, Penghapusan Malware

Lakukan penghapusan semua proses malware dari user ftpuser dengan menggunakan command ini :

root@vps1:/# pkill -KILL -u ftpuser

Setelah itu, lakukan penghapusan user bernama ftpuser dengan menggunakan command ini:

root@vps1:/# deluser ftpuser

Langkah 3, Validasi Malware tidak berjalan kembali

Pastikan kembali bahwa proses tsm sudah tidak muncul dengan melakukan cek TOP

Langkah 4, Kemungkinan Penyebab

User bernama ftpuser telah dihack, kemungkinan karena password user yang digunakan terlalu mudah dan berhasil dibobol hacker.

Solusinya adalah gunakan user dan password yang sulit ditebak, minimal kombinasi password terdiri dari 8 digit berupa angka, huruf, dan simbol.

Penutup

Gimana sob, semoga bisa membantu masalah kamu. Pada case ini yang menjadi penyebab utama adalah celah pada salah satu software. Maka dari itu kamu harus memastikan sistem kamu menggunakan password dengan tingkat kesulitan yang tinggi.