Computer Security
Incident Response Team

Siaga Siber: Lonjakan CPU Server Nextcloud Database Berhasil Dimitigasi

Jakarta, 5 Februari 2026 – Direktorat IT TMB melaporkan terjadinya anomali penggunaan CPU secara signifikan pada server Nextcloud Database (DB) yang mendukung layanan Drive RRI (drive.rri.go.id) di Data Center Jakarta. Insiden ini berhasil diidentifikasi secara cepat melalui sistem monitoring infrastruktur, dan telah ditangani tanpa menyebabkan gangguan layanan publik secara luas. Ringkasan Insiden Berdasarkan hasil investigasi teknis: Seluruh core CPU server berada pada 100% utilization Nilai load average meningkat drastis dan tidak normal Ditemukan proses sistem berjalan berulang dalam jumlah besar Teridentifikasi binary non-standar berjalan dengan hak akses root Tidak ditemukan indikasi perubahan konfigurasi aplikasi maupun kerusakan data Server database tersebut tidak diekspos ke jaringan publik dan hanya menggunakan IP private, sehingga indikasi awal mengarah pada: Aktivitas internal abnormal Kemungkinan lateral movement Atau mekanisme otomatis internal yang tidak sah Insiden dikategorikan sebagai gangguan keamanan dan stabilitas sistem yang memerlukan tindakan mitigasi segera. Analisis Teknis Berdasarkan dokumentasi pada lampiran laporan laporan Nextcloud DB FIX  : BEFORE (Saat Insiden) Resource CPU VM mengalami lonjakan ekstrem Ditemukan proses irq-balance helper12 berjalan secara masif dan berulang Load CPU penuh pada seluruh core Monitoring menunjukkan aktivitas proses tidak wajar yang menyebabkan degradasi performa. AFTER (Pasca Mitigasi) CPU kembali stabil Trend traffic normal Tidak ada proses mencurigakan berjalan Layanan database beroperasi normal Perbandingan grafik sebelum dan sesudah tindakan menunjukkan pemulihan signifikan terhadap stabilitas sistem. Tindakan Mitigasi yang Dilakukan Tim IT dan Distribusi melakukan langkah-langkah berikut: Isolasi sementara server untuk mencegah eskalasi aktivitas Terminasi seluruh proses tidak wajar Backup database secara aman (logical backup) Rebuild server menggunakan image OS bersih Rotasi kredensial secara menyeluruh: Password database Akses SSH Kredensial aplikasi terkait Validasi integritas dan memastikan layanan kembali normal Pendekatan ini dilakukan untuk menjamin tidak adanya persistence mechanism yang tertinggal. Penguatan Keamanan Pasca Insiden Sebagai bagian dari evaluasi dan peningkatan keamanan, Direktorat IT TMB merekomendasikan: Segmentasi jaringan internal yang lebih ketat untuk server database Penerapan SSH key-only authentication Menonaktifkan login root langsung Implementasi Host-Based Intrusion Detection System (HIDS) Penerapan egress filtering pada server database Audit berkala akses administrator dan konfigurasi keamanan Langkah ini bertujuan meningkatkan kontrol lateral movement serta memperkuat model Defense in Depth di lingkungan Data Center RRI. Dampak terhadap Layanan Hasil evaluasi menunjukkan: Tidak terjadi kebocoran data Tidak ada perubahan konfigurasi aplikasi Layanan Drive RRI tetap terjaga Sistem kembali stabil setelah tindakan perbaikan Insiden berhasil ditangani secara cepat dan terkendali. Klasifikasi Insiden Jenis Insiden: System Resource Abuse / Suspicious Process Activity Target: Nextcloud Database Server Tanggal: 5 Februari 2026 Status: Mitigated – Service Stabilized Sumber: Direktorat IT TMB – RRI