07-18-2011, 06:47 AM
Hallo Berjumpa sama shadows di sini 
mungkin ini trit yg ke 2 ane tulis di forum ini
sebelum menulis ane minta ijin dulu sama yang punya rumah buat coret2 di sini ..wkkwk
numpang coret2 ya om :pc:
ok sedikit share buat mastah2 di sini mengenai command bash security server ..
mungkin yang udah pada dewa silahkan di abaikan share ane ini :apn:
1.Fungsi :
Melihat top / high 10 process yg sangat besar dalam penggunaan cpu dan memory server .
2.Fungsi :
Untuk melihat siapa saja user yg memiliki cron aktif dan dijalankan di server secara rutin .
3.Fungsi :
Untuk merelease unused memory in server , flush temp cache buffer dalam memory server . count ini akan merelase sebesar 1 GB ram (1 M * 1k )
4.Fungsi :
Untuk mencari file dengan ukuran 0 dan langsung menghapusnya auto .
5.Fungsi :
Mencari tahu process apa saja yg sedang dilakukan / dijalankan oleh si user .
Ex : ganti username dengan nama user yg mau anda strace intip aktifitasnya.
6.Fungsi :
Untuk mengetahui berapa banyak ram yang sedang dipakai suatu process , dalam hal ini saya mengambil sample httpd .
Ketika dijalankan cmd tsb maka akan auto calculate penggunaan memory dari seluruh process httpd tersebut diserver .
Info : anda bisa mengganti httpd dengan process lain untuk count memory usage seperti imap , mysqld , ftpd dll
7.Fungsi :
Untuk melihat 10 list ukuran size terbesar dalam suatu folder / files
8. Mencari string / kata yg kita ingin cari dalam suatu files , baik PHP , GIF , HTML , CGI dsb .
A)Fungsi :
cmd diatas berfungsi untuk scanning php files dalam path si username dan mencari 1 kata / strings dalam files php yg sesuai dengan "powered by rapidleech" .
( jika ketemu maka akan ada dilistnya beserta warning ) .
B)Fungsi :
cmd diatas berfungsi untuk scanning php files dalam path si username dan mencari beberapa kata / strings dalam files php yg sesuai dengan rapidleech dan c99
( ini salah satu method yg saya gunakan untuk membuat plugin antivirus dalam cpanel) .
berbeda dengan A yg hanya dapat mencari 1 pattern kata , di B ini bisa memasukan beberapa
anda bisa memodifikasi dengan mencari kata yg sesuai untuk antisipasi misal untuk virus / rapidleech / shell attacker c99, r57 dsb.
content yg di ubah nama filesnya akan ketahuan juga nanti , jadi buka dan copas aja isi script didalamnya dan masukan query yg terkandung di dalamnya beberapa ke string pattern searching
jadi walaupun dia rubah nama files / dir nya yg failed di locate / di find berdasarkan nama files tetep akan ke scan melalui method ini karena scan ini mencari pattern text dalam isi filesnya dan bukan dari nama filesnya.
9.Fungsi :
Untuk melihat detail cpu information .
10.Fungsi:
Tracking ddos attack berdasarkan jumlah urutan IP dengan koneksi terbanyak
ex hasil :
# IP
------------------
129 114.58.67.xx
20 114.58.67.xx
dimana 129 adalah jumlah koneksi yg di dapat dari ip 114.58.67.xx
11.Fungsi :
Untuk melihat process server berdasarkan tree status
12.Fungsi:
Sortir process bedasarkan penggunaan memory dan cpu
13.Fungsi :
Fixed nobody user yang run wrong permission right uid .
ex : folder test pada home user andi jalan / run tanpa right permission .
untuk fix lakukan hal sbb :
# cd /home/andi/public_html
# chown -R andi:andi test
setelah selesai lakukan test eksekusi editing dan upload data pada dir tersebut
14.Fungsi:
untuk melihat nilai current koneksi berdasarkan IP.
15.Fungsi :
Realtime Memory usage monitoring realtime
Output display:
- total memory
- used memory
- active memory
- inactive memory
- free memory
- buffer memory
- swap cache
- otal swap
- used swap
- free swap
- non-nice user cpu ticks
- nice user cpu ticks
- system cpu ticks
- idle cpu ticks
- IO-wait cpu ticks
- IRQ cpu ticks
- softirq cpu ticks
- stolen cpu ticks
- pages paged in
- pages paged out
- pages swapped in
- pages swapped out
- interrupts
- CPU context switches
- boot time
- forks
16.Fungsi :
Hardisk filesystem monitoring realtime
17.Fungsi :
Realtime mysql status monitoring
18.Fungsi :
Check monitoring open / listening port realtime
19.Fungsi :
Mencari / Analysis siapa saja yg mengirim mail terbanyak yg ada di top relaying mail serta menampilkan di path apa dia mengirim mail tersebut .
ini berguna untuk mencari spammer user dan mecari path folder tempat eksekusi send mail tersebut sehingga bisa dilakukan analysis serta monitoring rutin diserver.
Sample output :
1041 cwd=/home/bb/public_html/tester
154 cwd=/home/aa/public_html/beta
Penjelasan :
1041 dan 154 ini adalah total mail yg terkirim
sebelah kanan merupakan path tempat mail tersebut dikirimkan
20.Fungsi:
Cek jumlah proses httpd
21.Fungsi:
Cek jumlah koneksi httpd per IP address, diurutkan dari kecil ke paling besar:
22.Fungsi:
Cek proses httpd yang berstatus SYN_RECV (untuk melihat tipe serangannya SYN FLOOD atau bukan
23.Fungsi:
Mass chmod folder
24.Fungsi:
Mass chmod file
25.Fungsi:
Menonaktifkan, mematikan dan flush apache/mysql/exim secara langsung jika terjadi ddos
26.Fungsi:
Untuk melihat PID zombie
ok sampe sini share dari ane ,
yang punya perintah2 lain silahkan di tambahkan di trit ini
salam hangat,
shadows
mungkin ini trit yg ke 2 ane tulis di forum ini
sebelum menulis ane minta ijin dulu sama yang punya rumah buat coret2 di sini ..wkkwk
numpang coret2 ya om :pc:
ok sedikit share buat mastah2 di sini mengenai command bash security server ..
mungkin yang udah pada dewa silahkan di abaikan share ane ini :apn:
1.
Code:
ps -eo user,pcpu,pmem | tail -n +2 | awk '{num[$1]++; cpu[$1] += $2; mem[$1] += $3} END{printf("NPROC\tUSER\tCPU\tMEM\n"); for (user in cpu) printf("%d\t%s\t%.2f\t%.2f\n",num[user], user, cpu[user], mem[user]) }'Melihat top / high 10 process yg sangat besar dalam penggunaan cpu dan memory server .
2.
Code:
for USER in `ls /var/spool/cron`; do echo "=== crontab for $USER ==="; echo $USER; doneUntuk melihat siapa saja user yg memiliki cron aktif dan dijalankan di server secara rutin .
3.
Code:
dd if=/dev/zero of=junk bs=1M count=1KUntuk merelease unused memory in server , flush temp cache buffer dalam memory server . count ini akan merelase sebesar 1 GB ram (1 M * 1k )
4.
Code:
find . -type f -size 0 -deleteUntuk mencari file dengan ukuran 0 dan langsung menghapusnya auto .
5.
Code:
x=1; while [ $x = 1 ]; do process=`pgrep -u username`; if [ $process ]; then x=0; fi; done; strace -vvtf -s 256 -p $processMencari tahu process apa saja yg sedang dilakukan / dijalankan oleh si user .
Ex : ganti username dengan nama user yg mau anda strace intip aktifitasnya.
6.
Code:
ps -o rss -C httpd | tail -n +2 | (sed 's/^/x+=/'; echo x) | bcUntuk mengetahui berapa banyak ram yang sedang dipakai suatu process , dalam hal ini saya mengambil sample httpd .
Ketika dijalankan cmd tsb maka akan auto calculate penggunaan memory dari seluruh process httpd tersebut diserver .
Info : anda bisa mengganti httpd dengan process lain untuk count memory usage seperti imap , mysqld , ftpd dll
7.
Code:
du -sk * |sort -rn |headUntuk melihat 10 list ukuran size terbesar dalam suatu folder / files
8. Mencari string / kata yg kita ingin cari dalam suatu files , baik PHP , GIF , HTML , CGI dsb .
A)
Code:
find /home/username/ -name "*".php -type f -print0| xargs -0 grep "powered by rapidleech" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniqcmd diatas berfungsi untuk scanning php files dalam path si username dan mencari 1 kata / strings dalam files php yg sesuai dengan "powered by rapidleech" .
( jika ketemu maka akan ada dilistnya beserta warning ) .
B)
Code:
find /home/username/ -name "*".php -type f -print0| xargs -0 egrep "rapidleech|c99" | uniq -c | sort -u | cut -d":" -f1 | awk '{print "Penting - tolong check files berikut " $2}' | uniqcmd diatas berfungsi untuk scanning php files dalam path si username dan mencari beberapa kata / strings dalam files php yg sesuai dengan rapidleech dan c99
( ini salah satu method yg saya gunakan untuk membuat plugin antivirus dalam cpanel) .
berbeda dengan A yg hanya dapat mencari 1 pattern kata , di B ini bisa memasukan beberapa
anda bisa memodifikasi dengan mencari kata yg sesuai untuk antisipasi misal untuk virus / rapidleech / shell attacker c99, r57 dsb.
content yg di ubah nama filesnya akan ketahuan juga nanti , jadi buka dan copas aja isi script didalamnya dan masukan query yg terkandung di dalamnya beberapa ke string pattern searching
jadi walaupun dia rubah nama files / dir nya yg failed di locate / di find berdasarkan nama files tetep akan ke scan melalui method ini karena scan ini mencari pattern text dalam isi filesnya dan bukan dari nama filesnya.
9.
Code:
cat /proc/cpuinfoUntuk melihat detail cpu information .
10.
Code:
netstat -ntu | awk '{print $5}' | tail --lines=+3 | cut -s -d: -f1 | sort | uniq -c | sort -n -b -rTracking ddos attack berdasarkan jumlah urutan IP dengan koneksi terbanyak
ex hasil :
# IP
------------------
129 114.58.67.xx
20 114.58.67.xx
dimana 129 adalah jumlah koneksi yg di dapat dari ip 114.58.67.xx
11.
Code:
env LANG=C pstree -cUntuk melihat process server berdasarkan tree status
12.
Code:
ps aux --sort=%mem,%cpuSortir process bedasarkan penggunaan memory dan cpu
13.
Code:
chown -R username:username dirFixed nobody user yang run wrong permission right uid .
ex : folder test pada home user andi jalan / run tanpa right permission .
untuk fix lakukan hal sbb :
# cd /home/andi/public_html
# chown -R andi:andi test
setelah selesai lakukan test eksekusi editing dan upload data pada dir tersebut
14.
Code:
netstat -ntu | grep ':' | awk '{print $5}' | sed 's/::ffff://' | cut -f1 -d ':' | sort | uniq -c | sort -nruntuk melihat nilai current koneksi berdasarkan IP.
15.
Code:
watch vmstat -sSMRealtime Memory usage monitoring realtime
Output display:
- total memory
- used memory
- active memory
- inactive memory
- free memory
- buffer memory
- swap cache
- otal swap
- used swap
- free swap
- non-nice user cpu ticks
- nice user cpu ticks
- system cpu ticks
- idle cpu ticks
- IO-wait cpu ticks
- IRQ cpu ticks
- softirq cpu ticks
- stolen cpu ticks
- pages paged in
- pages paged out
- pages swapped in
- pages swapped out
- interrupts
- CPU context switches
- boot time
- forks
16.
Code:
watch -d -n 2 'df; ls -FlAt;'Hardisk filesystem monitoring realtime
17.
Code:
watch mysqladmin prRealtime mysql status monitoring
18.
Code:
lsof -Pni4 | grep LISTENCheck monitoring open / listening port realtime
19.
Code:
awk '$3 ~ /^cwd/{print $3}' /var/log/exim_mainlog | sort | uniq -c | sed "s|^ *||g" | sort -nrMencari / Analysis siapa saja yg mengirim mail terbanyak yg ada di top relaying mail serta menampilkan di path apa dia mengirim mail tersebut .
ini berguna untuk mencari spammer user dan mecari path folder tempat eksekusi send mail tersebut sehingga bisa dilakukan analysis serta monitoring rutin diserver.
Sample output :
1041 cwd=/home/bb/public_html/tester
154 cwd=/home/aa/public_html/beta
Penjelasan :
1041 dan 154 ini adalah total mail yg terkirim
sebelah kanan merupakan path tempat mail tersebut dikirimkan
20.
Code:
ps -def | grep httpd | grep -v grep | wc -lCek jumlah proses httpd
21.
Code:
netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nCek jumlah koneksi httpd per IP address, diurutkan dari kecil ke paling besar:
22.
Code:
netstat -an | grep SYNCek proses httpd yang berstatus SYN_RECV (untuk melihat tipe serangannya SYN FLOOD atau bukan
23.
Code:
find /home/*/public_html -type d -exec chmod 755 {} \;Mass chmod folder
24.
Code:
find /home/*/public_html -type f -exec chmod 644 {} \;Mass chmod file
25.
Code:
ps -ef | grep httpd | grep -v grep | awk '{print "kill -9", $2}' | shMenonaktifkan, mematikan dan flush apache/mysql/exim secara langsung jika terjadi ddos
26.
Code:
ps aux | grep -w Z | tr -s ' ' | cut -d' ' -f2 | tee zombie ; cat zombieUntuk melihat PID zombie
ok sampe sini share dari ane ,
yang punya perintah2 lain silahkan di tambahkan di trit ini
salam hangat,
shadows
