Sep 30, 2025

Kill Malicious Process

 # 1. Kill proses mencurigakan lainnya

pkill -f kcached

pkill -f defunct

pkill -f rcu_preempt


# 2. Hapus file malware

rm -f /usr/bin/defunct

rm -f /lib/systemd/system/defunct.dat

rm -f /lib/systemd/system/defunct.service


# 3. Cek apakah masih ada file tersembunyi

find /home/ -name "gs-dbus*" -o -name "*defunct*" 2>/dev/null

find /root -name "*defunct*" -o -name "gs-dbus*" 2>/dev/null

find /tmp -name ".*" -type f 2>/dev/null


# 4. Reload systemd

systemctl daemon-reload


# 5. Cek proses yang masih berjalan dengan nama tersembunyi

ps aux | grep -E "\[rcu_preempt\]|\[kcached\]"


# 6. Cek semua crontab (root dan user lain)

crontab -l  # crontab root

ls -la /var/spool/cron/crontabs/

cat /etc/crontab

ls -la /etc/cron.d/

ls -la /etc/cron.hourly/

ls -la /etc/cron.daily/


# 7. Cek koneksi network mencurigakan

netstat -tulpn | grep -v "127.0.0.1"

ss -tulpn


# 8. Cek startup/init scripts mencurigakan

ls -la /etc/init.d/

systemctl list-unit-files | grep enabled | grep -v "^[a-z]"


# 9. Cek file .bashrc dan .profile yang mungkin terinfeksi

cat /root/.bashrc | tail -20

cat /root/.profile | tail -20

cat /home/.bashrc | tail -20

cat /home/.profile | tail -20


# 10. Cek SSH authorized_keys

cat /root/.ssh/authorized_keys

cat /home/biovalentia/.ssh/authorized_keys


# 11. Cek file yang baru dibuat/dimodifikasi dalam 7 hari terakhir

find / -type f -mtime -7 -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/log/*" 2>/dev/null | head -50