                               Linux Worm
                       Bahaya baru untuk Linux System
                    Jim Geovedi <negative@australia.edu>


Beberapa worm berbahaya telah menyebar di Internet dan menginfeksi server-
server Linux yang menjalankan software-software yang vulnerable.


1. Worm, autopilot virus

Worm adalah jenis virus komputer yang mampu memperbanyak dirinya tanpa
perlu diberi komando, dengan memanfaatkan bolong security system,
worm dapat masuk, menginfeksi, dan kemudian menduplikasikan dirinya
untuk melakukan penyerangan pada host/system lain yang juga memiliki
kelemahan system.

Linux Worm adalah variant worm yang menyerang pada Linux system, dari 
kebanyakan Linux Worm yang ada dan telah menyebar terdapat diantaranya,
Ramen, Lion, dan Adore, memiliki tingkat bahaya yang berbeda-beda,
mengingat tujuan dibuatnya worm tersebut adalah untuk maksud-maksud
tertentu, seperti: mengambil data user (password), mengganti halaman
index.html (defacement).


2. Penyebaran Linux Worm

Seperti yang telah disebutkan diatas, Linux Worm memperbanyak dirinya
dan kemudian melakukan penyerangan lagi ke host atau system lain
yang memiliki vulnerabilitas sama.

Berikut adalah beberapa metode yang dilakukan Linux Worm untuk
memperbanyak dirinya, dan kemudian melakukan penyerangan kembali
ke host lain:

o Menggunakan exploit untuk masuk kedalam sebuah system
	  
  Exploit yang dipergunakan biasanya adalah exploit yang sudah dikenal, 
  dan dapat ditemukan dengan mudah. Linux Worm memanfaatkan
  vulnerability yang ada pada sebuah system, dan kemudian
  mengexploitasinya.

o Membuat backdoor, mengamankan system dari exploitasi pihak lain

  Dalam source code Linux Worm biasanya disertakan tools rootkit, yang
  didalamnya terdapat berbagai tools yang dapat dipergunakan untuk
  membuat backdoor, mengganti file binary tertentu untuk menutupi
  keberadaannya.

o Melakukan patching terhadap vulnerability

  Linux Worm juga akan melakukan patching pada vulnerability yang telah
  berhasil membuatnya masuk, dan juga beberapa vulnerability lain yang
  sudah diketahui. Hal ini untuk menghindari penyusupan system yang
  telah dikuasainya dari cracker atau worm yang lain.

o Melakukan penyerangan terhadap Host lain

  Setelah Linux Worm berhasil menguasai penuh system, ia akan melakukan
  scanning vulnerability pada network lain secara random, dan melakukan
  penyerangan pada system yang memiliki vulnerability sama. Beberapa
  Linux Worm terbaru telah memiliki daftar vulnerability, dan juga
  exploit untuk vulnerability tersebut.
 
o Menggantikan binary file pada system dengan versi dimodifikasi

  Sebagai langkah untuk mengamankan dirinya, Linux Worm akan mengganti
  beberapa binary file dengan versi yang telah dimodifikasi dengan
  tujuan sang administrator atau user pada system tersebut tidak
  mengetahui keberadaannya.

o Menghapus jejak dan mematikan proses logging pada system

  Linux Worm akan menghapus file log dan mematikan proses logging yang 
  sedang berjalan, dan biasanya Linux Worm tersebut akan mengganti
  file binary yang dipergunakan untuk menjalankan proses logging
  dengan file baru yang telah dimodifikasi.

o Menambahkan sebagian proses pengaktifan dirinya pada file startup script.

  Linux Worm juga menambahkan proses pengaktifan dirinya pada startup 
  script yang diload ketika system direstart.
	

3. Deteksi Awal

Setelah Linux Worm menginstall tool rootkit untuk menutupi keberadaan dirinya
dalam sebuah system. Sangat kecil kemungkinan diketahuinya keberadaan
Linux Worm, namun bukan berarti kita sama sekali tidak dapat mengetahuinya,
berikut adalah beberapa cara yang dapat digunakan:

o Sensor IDS

  Jika sensor IDS terkonfigurasi dengan baik, kita dapat mengetahui signature
  dari beberapa kegiatan anomali yang mengindikasikan telah terjadi intrusion
  pada network kita.

o Log file

  Kita dapat mengetahui keberadaan Linux Worm dari file log, walaupun mungkin
  Linux Worm telah mengganti program logging, namun kita dapat mengetahuinya
  dengan menggunakan program tambahan semacam ``chkrootkit''.

o System Load yang tidak wajar

  Linux Worm membutuhkan resource yang cukup tinggi ketika melakukan proses
  perbanyakan diri, dan melakukan penyerangan ke host lain. 


4. Sumber Informasi

Berikut adalah sumber informasi yang memungkinkan kita mencari informasi
mengenai Linux Worm:
   o Mailing List Bugtraq / Vuln Dev SecurityFocus
   o Mailing List SANS
   o Packetstormsecurity


5. Kesimpulan

Teknologi penulisan code dan metode Linux Worm masih sangat terbatas,
mengingat system Linux mempunyai user-level system dimana saat ini 
kebanyakan daemon tidak lagi dijalankan oleh user root. Linux Worm
saat ini hanya dapat memanfaatkan vulnerability system yang sudah
diketahui publik, dan secara random melakukan scanning dan penyerangan
hanya pada host yang memiliki vulnerability tertentu yang telah
menjadi targetnya.

Telepas dari keterbatasan yang dimiliki Linux Worm tersebut, bukan berarti
lantas kita bisa saja aman dan bebas begitu saja, kita masih harus
selalu waspada pada setiap kemungkinan yang bakal terjadi.


6. Referensi

  1. Sharon Machlis, "'Dangerous' Linux worm in the wild"
     http://www.cnn.com/2001/TECH/internet/03/23/linux.worm.idg/

  2. X-Force Database Results: "Adore Linux worm"
     http://www.iss.net/security_center/static/6681.php

  3. SANS/Global Internet Analysis Center, "Adore Worm"
     http://www.sans.org/y2k/adore.htm