Tools untuk Monitoring and Forensics pada Linux

Tugas II4033 Forensik Digital

Elisabeth Levana 18218032

Linux adalah operating system yang sifatnya open-source dan mirip dengan Unix, berdasar pada kernel Linux.

Linux merupakan operating sytem yang banyak digunakan di dunia. 96,3% dari 1 juta server teratas dunia berjalan di Linux. Hanya 1,9% yang menggunakan Windows, dan 1,8% FreeBSD (Berkeley Software Distribution). Pada desktop, banyak organisasi yang juga menggunakan Linux sebagai base operating system. Oleh karena itu, Linux Forensics penting untuk dipelajari.

Distro adalah operating system yang berdasar pada Linux kernel dan seringkali memiliki sebuah package management system tersendiri. Terdapat Distro yang dibuat untuk kegunaan tertentu, contohnya Kali Linux untuk spesialisasi Keamanan, Hacking, Forensik. Dalam pengerjaan tugas pada blog kali ini, akan digunakan Kali Linux.

Monitoring and Forensics

Proses monitoring dilakukan untuk melakukan traceback dan mengetahui apa yang terjadi sebenarnya, mencegah adanya serangan terhadap sistem keamanan jaringan. Dibutuhkan sebuah metodologi yang jelas untuk pengambilan data-data dan melakukan analisa terhadap data tersebut ketika melakukan forensik.

Berikut beberapa tools yang dapat digunakan:

— timedatectl

Tools ini digunakan untuk melakukan monitoring terhadap komputer yang dimiliki, terutama pada bagian waktu. Selanjutnya akan ditampilkan informasi terkait waktu lokal, waktu universal, waktu RTC (real-time clock) dan time zone. Dari informasi waktu ini, bisa didapatkan clue terkait alur keberadaan seseorang.

— top

Top ibaratnya adalah Task Manager jika pada Windows. Disini, dapat dilihat informasi seperti waktu yang sedang berjalan, sudah berapa lama komputer running, berapa user yang sedang masuk ke dalam sistem, ukuran RAM yang sudah digunakan dan yang masih tersedia. Di bawah, terdapat list aplikasi yang sedang berjalan beserta dengan detail seperti PID (Process ID), User (siapa yang menjalankan process tersebut), %CPU yang digunakan proses tersebut, %MEM memori yang digunakan serta command yang menunjukkan proses yang sedang dikerjakan.

Jika ingin membunuh suatu proses, maka dapat dilakukan dengan click ‘k’. Selanjutnya, masukkan PID dari proses yang ingin di-kill.

Untuk keluar dari top, click ‘q’ .

— locate

Locate digunakan untuk mendapatkan letak dari suatu file/folder. Contohnya di bawah ini, akan digunakan locate untuk mendapatkan letak dari direktori root.

— ls

ls digunakan untuk melihat isi dari suatu folder. Namun, tools ini tidak akan menampilkan file tersembunyi (hidden file).

Untuk melihat file tersembunyi, dapat digunakan ‘ls -a’. File tersembunyi biasanya ditandai dengan ‘.’ di depan nama file tersebut.

Untuk melihat informasi secara penuh, dapat digunakan ‘ls-l’. Disini, dapat dilihat bagaimana file/folder tersebut ketika akan dibaca, ditulis dan dieksekusi, user pemilik, tanggal pembuatan dan nama file/folder.

— log

Log biasanya akan selalu ada dalam sistem yang dimiliki. Log banyak jenisnya, mulai dari database log, system log, dll. Log akan membantu untuk memahami terkait komputer yang sedang berjalan, apakah ada orang yang sedang masuk ke dalam sistem atau apakah ada sambungan dari komputer lain menuju komputer yang kita miliki, sehingga forensik dapat dilakukan dengan lebih mudah.

Pada linux, log berada dalam direktori var/log/

Untuk melakukan pengecekan terhadap sistem, kapan dan berapa lama seseorang masuk ke dalam sistem dapat digunakan ‘last’

Referensi

• https://hostingtribunal.com/blog/linux-statistics/#gref
• https://www.youtube.com/channel/UCeEjo0ID80HM8tLpaE8y4tg