# 1. Kill proses mencurigakan lainnya
pkill -f kcached
pkill -f defunct
pkill -f rcu_preempt
# 2. Hapus file malware
rm -f /usr/bin/defunct
rm -f /lib/systemd/system/defunct.dat
rm -f /lib/systemd/system/defunct.service
# 3. Cek apakah masih ada file tersembunyi
find /home/ -name "gs-dbus*" -o -name "*defunct*" 2>/dev/null
find /root -name "*defunct*" -o -name "gs-dbus*" 2>/dev/null
find /tmp -name ".*" -type f 2>/dev/null
# 4. Reload systemd
systemctl daemon-reload
# 5. Cek proses yang masih berjalan dengan nama tersembunyi
ps aux | grep -E "\[rcu_preempt\]|\[kcached\]"
# 6. Cek semua crontab (root dan user lain)
crontab -l # crontab root
ls -la /var/spool/cron/crontabs/
cat /etc/crontab
ls -la /etc/cron.d/
ls -la /etc/cron.hourly/
ls -la /etc/cron.daily/
# 7. Cek koneksi network mencurigakan
netstat -tulpn | grep -v "127.0.0.1"
ss -tulpn
# 8. Cek startup/init scripts mencurigakan
ls -la /etc/init.d/
systemctl list-unit-files | grep enabled | grep -v "^[a-z]"
# 9. Cek file .bashrc dan .profile yang mungkin terinfeksi
cat /root/.bashrc | tail -20
cat /root/.profile | tail -20
cat /home/.bashrc | tail -20
cat /home/.profile | tail -20
# 10. Cek SSH authorized_keys
cat /root/.ssh/authorized_keys
cat /home/biovalentia/.ssh/authorized_keys
# 11. Cek file yang baru dibuat/dimodifikasi dalam 7 hari terakhir
find / -type f -mtime -7 -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/log/*" 2>/dev/null | head -50