Assalamualaikum Warrahmatullahi Wabarakatuh
Kali ini saya ingin share sedikit tentang bagaimana cara kita mengetahui apakah server kita telah di restart oleh orang lain dan siapakah pelakunya.
Langsung saja berikut tahap-tahap yang kita lakukan:
1. Cek Server Uptime
Cara ini untuk mengetahui berapa lama server kita telah running. Jika kita terakhir merestart server seminggu lalu, maka seharusnya uptime yang muncul adalah 7days. Tetapi jika uptime yang muncul kurang dari 7days, maka server kita telah direstart.
Dari hasil diatas, terlihat bahwa server kita baru running selama 10menit. Ini artinya server kita telah terestart sekitar 10 menit lalu. Jika kita hitung dari waktu saat ini, maka server nya terestart sekitar pukul 21:29:35.
2. Cek Authentication log
Setelah kita tahu bahwa server kita terestart sekitar pukul 21:29:35, langkah selanjutnya kita lihat apakah ada orang yang login ke server kita pada waktu tersebut. Kita bisa mengecek nya pada log file /var/log/secure.
# cat /var/log/secure
Dari log diatas, pada jam 21:28, seseorang dari IP 192.168.1.102 berhasil login ke server kita sebagai root. Berarti kuat dugaan bahwa orang tersebut yang telah merestart server kita.
3. Cek dari mana IP tersebut berasal
Jika kita ingin tahu dari manakah IP tersebut berasal, maka kita bisa menggunakan tools GeoIP. Kita bisa mengunjungi link berikut: https://www.iplocation.net/. Kemudian masukkan IP nya dan klik IP Lookup.
4. Blok IP tersebut
Sebagai langkah mitigasi nya, kita bisa melakukan blocking pada IP tersebut melalui IPtables yang ada di server.
# iptables -A INPUT -p tcp –dport 22 -s 192.168.1.102 -j DROP
Sekian langkah-langkah mengenai cara mengetahui siapa yang merestart server kita dan semoga bermanfaat 🙂 Sekali lagi terimakasih telah mengunjungi blog saya.
Wassalamualaikum Warrahmatullahi Wabarakatuh