Artikel

Informasi, panduan, dan pengumuman keamanan siber

Semua Keamanan Panduan Pengumuman Laporan
Siaga Siber: Lonjakan CPU Server Nextcloud Database Berhasil Dimitigasi
Keamanan
02 Mar 2026 CSIRT Team

Siaga Siber: Lonjakan CPU Server Nextcloud Database Berhasil Dimitigasi

Jakarta, 5 Februari 2026 – Direktorat IT TMB melaporkan terjadinya anomali penggunaan CPU secara signifikan pada server Nextcloud Database (DB) yang mendukung layanan Drive RRI (drive.rri.go.id) di Data Center Jakarta. Insiden ini berhasil diidentifikasi secara cepat melalui sistem monitoring infrastruktur, dan telah ditangani tanpa menyebabkan gangguan layanan publik secara luas. Ringkasan Insiden Berdasarkan hasil investigasi teknis: Seluruh core CPU server berada pada 100% utilization Nilai load average meningkat drastis dan tidak normal Ditemukan proses sistem berjalan berulang dalam jumlah besar Teridentifikasi binary non-standar berjalan dengan hak akses root Tidak ditemukan indikasi perubahan konfigurasi aplikasi maupun kerusakan data Server database tersebut tidak diekspos ke jaringan publik dan hanya menggunakan IP private, sehingga indikasi awal mengarah pada: Aktivitas internal abnormal Kemungkinan lateral movement Atau mekanisme otomatis internal yang tidak sah Insiden dikategorikan sebagai gangguan keamanan dan stabilitas sistem yang memerlukan tindakan mitigasi segera. Analisis Teknis Berdasarkan dokumentasi pada lampiran laporan laporan Nextcloud DB FIX  : BEFORE (Saat Insiden) Resource CPU VM mengalami lonjakan ekstrem Ditemukan proses irq-balance helper12 berjalan secara masif dan berulang Load CPU penuh pada seluruh core Monitoring menunjukkan aktivitas proses tidak wajar yang menyebabkan degradasi performa. AFTER (Pasca Mitigasi) CPU kembali stabil Trend traffic normal Tidak ada proses mencurigakan berjalan Layanan database beroperasi normal Perbandingan grafik sebelum dan sesudah tindakan menunjukkan pemulihan signifikan terhadap stabilitas sistem. Tindakan Mitigasi yang Dilakukan Tim IT dan Distribusi melakukan langkah-langkah berikut: Isolasi sementara server untuk mencegah eskalasi aktivitas Terminasi seluruh proses tidak wajar Backup database secara aman (logical backup) Rebuild server menggunakan image OS bersih Rotasi kredensial secara menyeluruh: Password database Akses SSH Kredensial aplikasi terkait Validasi integritas dan memastikan layanan kembali normal Pendekatan ini dilakukan untuk menjamin tidak adanya persistence mechanism yang tertinggal. Penguatan Keamanan Pasca Insiden Sebagai bagian dari evaluasi dan peningkatan keamanan, Direktorat IT TMB merekomendasikan: Segmentasi jaringan internal yang lebih ketat untuk server database Penerapan SSH key-only authentication Menonaktifkan login root langsung Implementasi Host-Based Intrusion Detection System (HIDS) Penerapan egress filtering pada server database Audit berkala akses administrator dan konfigurasi keamanan Langkah ini bertujuan meningkatkan kontrol lateral movement serta memperkuat model Defense in Depth di lingkungan Data Center RRI. Dampak terhadap Layanan Hasil evaluasi menunjukkan: Tidak terjadi kebocoran data Tidak ada perubahan konfigurasi aplikasi Layanan Drive RRI tetap terjaga Sistem kembali stabil setelah tindakan perbaikan Insiden berhasil ditangani secara cepat dan terkendali. Klasifikasi Insiden Jenis Insiden: System Resource Abuse / Suspicious Process Activity Target: Nextcloud Database Server Tanggal: 5 Februari 2026 Status: Mitigated – Service Stabilized Sumber: Direktorat IT TMB – RRI

Baca Selengkapnya
Siaga Siber: Serangan DDoS Skala Besar Berhasil Diblokir oleh WAF RRI
Keamanan
02 Mar 2026 CSIRT Team

Siaga Siber: Serangan DDoS Skala Besar Berhasil Diblokir oleh WAF RRI

Jakarta, 3 November 2025 – Direktorat IT TMB melaporkan bahwa sistem Web Application Firewall (WAF) SafeLine berhasil mendeteksi dan memitigasi serangan Distributed Denial of Service (DDoS) berintensitas tinggi yang menargetkan server di Data Center Jakarta. Serangan teridentifikasi melalui lonjakan signifikan pada trafik permintaan (traffic request) dan aktivitas pemblokiran pada dashboard WAF dalam periode 24 jam. Ringkasan Statistik Serangan Berdasarkan hasil analisis sistem keamanan: Total Request: 70,8 juta Request Diblokir: 70,6 juta Blocked Rate: 99,44% Visitors (UV): 1,4 juta Unique IP: 5.300+ Error 4xx: 7.200 Error 5xx: 941 Puncak QPS (Query per Second): 7,8 juta request/detik Sumber trafik terdeteksi dominan berasal dari Indonesia, diikuti oleh beberapa negara lain seperti Singapura, Swiss, Amerika Serikat, Bangladesh, Korea Selatan, dan Vietnam. Pola dan Karakteristik Serangan Analisis menunjukkan pola serangan berupa HTTP Flood, yaitu pengiriman request HTTP secara masif dan berulang tanpa jeda untuk membebani server. Karakteristik yang teridentifikasi: User-agent tidak valid Perilaku akses otomatis (indikasi botnet) Lonjakan trafik mendadak dalam waktu singkat Beban jaringan meningkat drastis namun tetap terkendali Meskipun volume serangan sangat tinggi, sistem filtering aktif pada WAF berhasil mencegah gangguan signifikan terhadap layanan. Mekanisme Pertahanan yang Aktif Selama insiden berlangsung, sistem pertahanan yang aktif meliputi: SafeLine WAF Defense Mode: Aktif (auto-blocking) HTTP Flood Protection: Aktif Anti-Bot Challenge: Aktif Filtering request anomali secara real-time Firewall Perimeter (Mikrotik) Drop forward non-private IP ke jaringan internal Pemblokiran penyalahgunaan DNS (port 53 UDP/TCP) Hanya koneksi dengan status established/related yang diizinkan Pendekatan berlapis ini memastikan serangan tidak mencapai sistem backend internal. Dampak terhadap Layanan Berdasarkan monitoring infrastruktur: Tidak terjadi downtime layanan kritikal Tidak ditemukan indikasi penetrasi ke jaringan internal Tidak ada kebocoran data Serangan berhasil diredam sepenuhnya oleh sistem proteksi yang aktif. Penguatan dan Evaluasi Lanjutan Sebagai bagian dari evaluasi pasca-insiden, Direktorat IT TMB akan: Mengoptimalkan konfigurasi WAF untuk mitigasi lanjutan Mengaktifkan fitur proteksi tambahan pada layer aplikasi Melakukan tuning firewall untuk meningkatkan threshold filtering Memperkuat monitoring dan korelasi log terpusat Langkah ini dilakukan untuk meningkatkan kesiapsiagaan terhadap potensi serangan serupa di masa mendatang. Komitmen Keamanan Infrastruktur Serangan DDoS berskala besar merupakan ancaman umum terhadap layanan publik. Keberhasilan mitigasi ini menunjukkan efektivitas arsitektur keamanan berlapis (Defense in Depth) yang diterapkan pada Data Center RRI. Direktorat IT TMB berkomitmen untuk terus meningkatkan ketahanan siber guna memastikan ketersediaan layanan dan perlindungan infrastruktur teknologi informasi RRI. Klasifikasi Insiden: Distributed Denial of Service (DDoS) Kategori: HTTP Flood Attack Tanggal Kejadian: 3 November 2025 Status: Mitigated – No Service Disruption Sumber: Direktorat IT TMB — RRI

Baca Selengkapnya
Siaga Siber: Insiden Defacement Aplikasi Drive Cloud Berhasil Dipulihkan dan Diamankan
Keamanan
02 Mar 2026 CSIRT Team

Siaga Siber: Insiden Defacement Aplikasi Drive Cloud Berhasil Dipulihkan dan Diamankan

Jakarta, 21 Desember 2025 – Direktorat IT TMB melaporkan telah menangani insiden keamanan siber berupa web defacement pada aplikasi Drive Cloud RRI (drive.rri.go.id). Insiden teridentifikasi setelah pengguna melaporkan tidak dapat mengakses layanan secara normal karena tampilan halaman berubah menjadi konten tidak sah. Tim IT segera melakukan verifikasi dan langkah isolasi sistem untuk mencegah dampak lebih luas. Ringkasan Insiden Hasil investigasi menunjukkan adanya perubahan konten pada file index aplikasi yang mengarah pada skrip tidak sah. Selain itu, ditemukan perubahan konfigurasi backend pada load balancer yang menyebabkan server web tidak dapat merespons permintaan pengguna. Berdasarkan analisis sistem: Infrastruktur load balancer berjalan normal secara operasional Ditemukan modifikasi file pada direktori aplikasi Konfigurasi backend server sempat diubah sehingga memutus konektivitas layanan Log monitoring menunjukkan aktivitas anomali sebelum insiden terdeteksi Hingga tahap investigasi ini, tidak ditemukan indikasi kebocoran data pengguna maupun aktivitas ransomware. Dampak Layanan Dampak yang teridentifikasi: Gangguan sementara terhadap akses aplikasi Drive Cloud Perubahan tampilan halaman utama akibat defacement Disrupsi koneksi antara load balancer dan backend web server Layanan berhasil dipulihkan setelah proses perbaikan dilakukan. Langkah Penanganan dan Pemulihan Sebagai bagian dari mitigasi dan peningkatan keamanan, Direktorat IT TMB melakukan langkah berikut: 1️⃣ Perubahan Arsitektur Infrastruktur Migrasi model load balancer dari container ke Virtual Machine (VM) terisolasi Implementasi snapshot dan backup berkala 2️⃣ Penguatan Kontrol Akses Penonaktifan akses root langsung Penerapan autentikasi berbasis access key Pembatasan hak akses administratif 3️⃣ Implementasi Keamanan Host Aktivasi firewall UFW Instalasi dan konfigurasi Fail2Ban untuk mitigasi brute-force Implementasi Wazuh agent untuk monitoring keamanan real-time 4️⃣ Validasi Layanan Pengujian koneksi dan integritas aplikasi Verifikasi konfigurasi backend dan load balancer Monitoring pasca pemulihan Setelah langkah-langkah tersebut dilakukan, aplikasi Drive Cloud kembali dapat diakses secara normal dan stabil. Penguatan Keamanan Berkelanjutan Sebagai tindak lanjut, Direktorat IT TMB menetapkan langkah preventif: Pembatasan eksposur domain terhadap mesin pencari publik Penguatan konfigurasi keamanan pada load balancer Nginx Implementasi monitoring terpusat dan korelasi log keamanan Audit berkala terhadap file integrity dan konfigurasi sistem Pendekatan ini dilakukan untuk memastikan seluruh layanan publik RRI dilindungi melalui prinsip Defense in Depth dan segmentasi infrastruktur yang lebih ketat. Komitmen Keamanan Infrastruktur Insiden ini menjadi bagian dari evaluasi berkelanjutan terhadap keamanan layanan publik RRI. Direktorat IT TMB berkomitmen untuk terus meningkatkan arsitektur keamanan, monitoring proaktif, serta respons insiden guna menjaga ketersediaan dan integritas layanan. Klasifikasi Insiden: Web Defacement Kategori: Unauthorized Content Modification Tanggal Kejadian: 21 Desember 2025 Status: Resolved & Infrastructure Hardened Sumber: Direktorat IT TMB — RRI

Baca Selengkapnya
Siaga Siber: Insiden Defacement Aplikasi Collabora Berhasil Ditangani dan Diamankan
Keamanan
02 Mar 2026 CSIRT Team

Siaga Siber: Insiden Defacement Aplikasi Collabora Berhasil Ditangani dan Diamankan

Jakarta, 13 Februari 2026 – Direktorat IT TMB melaporkan telah menangani insiden keamanan siber berupa perubahan tampilan tidak sah (web defacement) pada aplikasi Collabora RRI. Insiden teridentifikasi setelah halaman utama aplikasi menampilkan konten yang tidak sesuai dan tidak terotorisasi, sehingga layanan tidak dapat digunakan sebagaimana mestinya. Tim IT segera melakukan isolasi sistem untuk mencegah eskalasi lebih lanjut. Ringkasan Insiden Hasil investigasi menunjukkan adanya defacement pada server Collabora lama yang sebelumnya terekspos langsung ke jaringan publik tanpa lapisan pengamanan berlapis. Beberapa faktor risiko yang teridentifikasi meliputi: Paparan langsung server ke internet tanpa proteksi berlapis Tidak adanya pemisahan jaringan (DMZ) Tidak aktifnya Web Application Firewall (WAF) Aplikasi dijalankan secara native tanpa isolasi container Indikasi kemungkinan kompromi pada level sistem operasi Hingga tahap investigasi ini, tidak ditemukan indikasi kebocoran data maupun aktivitas ransomware. Dampak Layanan Dampak utama insiden adalah: Gangguan sementara terhadap akses aplikasi Collabora Risiko reputasi akibat tampilan tidak sah pada halaman publik Potensi peningkatan trafik anomali selama periode defacement Berdasarkan analisis trafik dan monitoring log, insiden berhasil dikendalikan sebelum menimbulkan dampak yang lebih luas terhadap sistem internal. Langkah Penanganan dan Pemulihan Tim IT Direktorat TMB segera melakukan tindakan mitigasi sebagai berikut: 1️⃣ Isolasi Layanan Penghentian sementara akses publik ke server terdampak Pembatasan lalu lintas jaringan untuk mencegah eskalasi 2️⃣ Rebuild Total Sistem Server lama tidak digunakan kembali Dilakukan pembangunan ulang (clean install) pada server baru 3️⃣ Migrasi ke Arsitektur Container Aplikasi dideploy menggunakan Docker container Isolasi aplikasi dari sistem operasi host Pengurangan risiko eskalasi serangan 4️⃣ Implementasi Pengamanan Berlapis (Layer 3–7) Layer 3–4: Segmentasi jaringan, firewall ketat, pembatasan port & subnet Layer 5: Enkripsi TLS dan terminasi SSL melalui reverse proxy Layer 6: Pembatasan domain WOPI, pembatasan resource container, isolasi proses Layer 7: Implementasi Web Application Firewall (WAF) untuk mitigasi serangan aplikasi 5️⃣ Restriksi Akses Aplikasi hanya dapat diakses melalui layanan Nextcloud internal Tidak tersedia akses publik langsung ke backend Penguatan Keamanan Berkelanjutan Sebagai tindak lanjut, Direktorat IT TMB menetapkan kebijakan: Seluruh aplikasi kritikal wajib berjalan dalam arsitektur container atau virtualisasi terisolasi Penerapan prinsip Defense in Depth pada seluruh layer jaringan dan aplikasi Implementasi permanen Web Application Firewall untuk layanan publik Monitoring keamanan 24/7 dengan pencatatan log terpusat Audit keamanan dan patching sistem secara berkala Komitmen Keamanan Infrastruktur Insiden ini menjadi evaluasi penting dalam penguatan arsitektur keamanan aplikasi publik. Direktorat IT TMB berkomitmen untuk memastikan seluruh layanan teknologi informasi RRI dilindungi melalui pendekatan keamanan berlapis, segmentasi jaringan, dan monitoring berkelanjutan. Klasifikasi Insiden: Web Defacement Kategori: Unauthorized Content Modification Tanggal Kejadian: 13 Februari 2026 Status: Resolved & Hardened Sumber: Direktorat IT TMB — RRI

Baca Selengkapnya
Siaga Siber: Insiden Server Compromise pada Node Virtualisasi Berhasil Diisolasi dan Dimitigasi
Keamanan
28 Feb 2026 CSIRT Team

Siaga Siber: Insiden Server Compromise pada Node Virtualisasi Berhasil Diisolasi dan Dimitigasi

Jakarta, 25 Februari 2026 – Tim Infrastruktur dan Virtualisasi Data Center Direktorat IT TMB melaporkan telah mendeteksi dan menangani insiden keamanan siber berupa kompromi server pada salah satu node virtualisasi di lingkungan Data Center. Insiden teridentifikasi pada 25 Februari 2026 setelah ditemukan file dan mekanisme malicious persistence pada salah satu server Proxmox yang berfungsi sebagai node Ceph OSD dan hypervisor VM. Ringkasan Insiden Berdasarkan hasil investigasi awal, indikasi kompromi diperkirakan telah terjadi sejak November 2025. Analisis forensik menemukan adanya modifikasi sistem yang bertujuan mempertahankan akses secara tersembunyi (persistence mechanism), termasuk: Injeksi pada service systemd Penjadwalan ulang cron job Modifikasi skrip startup sistem Aktivitas login administratif yang mencurigakan melalui layanan SSH Node yang terdampak merupakan bagian dari infrastruktur virtualisasi dan penyimpanan terdistribusi (Ceph cluster). Hingga tahap investigasi ini, tidak ditemukan indikasi aktivitas ransomware maupun eksfiltrasi data. Dampak Infrastruktur Dampak teknis yang teridentifikasi meliputi: Beberapa OSD pada cluster Ceph mengalami status down Sebagian placement group (PG) dalam kondisi undersized Peningkatan utilisasi kapasitas cluster hingga mendekati ambang tinggi Degradasi kondisi cluster storage (cluster degraded) Meskipun demikian, berkat arsitektur redundansi cluster, layanan utama tetap dapat dipertahankan tanpa gangguan luas terhadap operasional. Langkah Penanganan Tim IT segera melakukan langkah mitigasi terstruktur sebagai berikut: Identifikasi dan penghentian seluruh proses mencurigakan Penghapusan mekanisme persistence dari sistem Isolasi node terdampak dari cluster untuk mencegah penyebaran Analisis log autentikasi dan aktivitas administratif Perencanaan instalasi ulang total server guna memastikan integritas sistem Langkah reinstall total dilakukan sebagai bagian dari kebijakan clean rebuild untuk menjamin sistem kembali dalam kondisi terpercaya (trusted state). Penguatan Keamanan Lanjutan Sebagai tindak lanjut, Direktorat IT TMB melakukan penguatan kontrol keamanan meliputi: Rotasi seluruh kredensial administrator cluster Penonaktifan autentikasi password SSH dan penerapan SSH key only Implementasi Fail2Ban untuk proteksi brute-force Monitoring real-time berbasis Wazuh Audit keamanan menyeluruh pada seluruh node cluster Langkah ini bertujuan meningkatkan deteksi dini dan memperkuat kontrol akses administratif pada infrastruktur virtualisasi dan storage. Komitmen Keamanan Infrastruktur Insiden ini menjadi pengingat pentingnya pengawasan berkelanjutan pada infrastruktur virtualisasi dan penyimpanan terdistribusi. Direktorat IT TMB berkomitmen untuk terus meningkatkan ketahanan siber guna menjaga ketersediaan layanan, integritas sistem, dan stabilitas operasional Data Center RRI. Klasifikasi Insiden: Server Compromise & Malicious Persistence Kategori: Unauthorized Administrative Access Tanggal Deteksi: 25 Februari 2026 Sumber: Direktorat IT TMB — RRI

Baca Selengkapnya
Siaga Siber: Insiden Aktivitas Cryptomining Ilegal Berhasil Ditangani, Layanan Tetap Aman
Keamanan
24 Feb 2026 CSIRT Team

Siaga Siber: Insiden Aktivitas Cryptomining Ilegal Berhasil Ditangani, Layanan Tetap Aman

Jakarta, 24 Februari 2026 – Direktorat IT TMB melaporkan telah berhasil mendeteksi dan menangani insiden keamanan siber berupa aktivitas cryptomining ilegal pada sejumlah server di lingkungan MBC pada 18 Februari 2026. Insiden pertama kali teridentifikasi melalui sistem monitoring infrastruktur setelah terdeteksi lonjakan penggunaan CPU yang signifikan disertai peningkatan suhu perangkat di Data Center hingga melampaui ambang batas operasional normal. Tim IT segera melakukan analisis awal dan mengonfirmasi adanya aktivitas proses tidak sah yang berjalan di beberapa server aplikasi. Ringkasan Insiden Hasil investigasi internal menunjukkan adanya penyusupan yang memungkinkan pelaku menanamkan perangkat lunak penambang kripto jenis Monero Miner (xmrig). Program tersebut dikonfigurasi agar berjalan secara tersembunyi dan memanfaatkan sumber daya komputasi server secara intensif. Beberapa indikator kompromi yang teridentifikasi meliputi: Akses SSH menggunakan kunci publik yang tidak terotorisasi Upaya pergerakan akses antar server dalam jaringan internal (lateral movement) Koneksi keluar menuju server mining pool di luar negeri Indikasi akses awal berasal dari alamat IP publik eksternal Berdasarkan hasil investigasi forensik, tidak ditemukan bukti adanya eksfiltrasi atau pencurian data pengguna. Namun demikian, insiden ini dikategorikan sebagai pelanggaran keamanan serius karena melibatkan akses tanpa izin dan penyalahgunaan sumber daya infrastruktur teknologi informasi. Dampak Operasional Dampak yang teridentifikasi selama insiden berlangsung antara lain: Penggunaan CPU mencapai kapasitas maksimal Peningkatan suhu ruang Data Center Potensi degradasi performa layanan aplikasi Respons cepat yang dilakukan berhasil mencegah gangguan layanan yang lebih luas serta meminimalkan risiko terhadap stabilitas infrastruktur. Tindakan Mitigasi dan Pemulihan Tim IT Direktorat TMB segera melaksanakan langkah penanganan terpadu, meliputi: Penghentian seluruh proses cryptomining secara paksa Penghapusan file dan service berbahaya dari sistem Pencabutan akses SSH tidak sah dan reset kredensial administratif Isolasi server terdampak dari jaringan untuk proses investigasi Instalasi ulang sistem operasi guna memastikan integritas dan kebersihan sistem Audit konfigurasi firewall dan konektivitas antar Data Center Setelah proses remediasi selesai, performa server dan suhu operasional kembali dalam kondisi normal dan stabil. Penguatan Keamanan Berkelanjutan Sebagai bagian dari peningkatan ketahanan siber, Direktorat IT TMB akan memperkuat kontrol keamanan melalui: Penerapan segmentasi jaringan yang lebih ketat Pembatasan akses administratif dengan Multi-Factor Authentication (MFA) Implementasi firewall berlapis dan Web Application Firewall (WAF) Peningkatan monitoring keamanan terpusat berbasis SIEM dan IDS Audit keamanan dan pembaruan sistem secara berkala Langkah ini bertujuan untuk meningkatkan kemampuan deteksi dini, respons insiden, serta perlindungan menyeluruh terhadap infrastruktur teknologi informasi. Komitmen Keamanan Infrastruktur Insiden ini menjadi pengingat bahwa ancaman siber dapat muncul dalam berbagai bentuk, termasuk penyalahgunaan sumber daya komputasi untuk kepentingan ilegal. Direktorat IT TMB berkomitmen untuk terus memperkuat sistem pertahanan keamanan guna menjaga ketersediaan layanan, integritas sistem, dan perlindungan infrastruktur teknologi informasi RRI. Klasifikasi Insiden: Unauthorized Access & Resource Abuse Tanggal Kejadian: 18 Februari 2026 Tanggal Publikasi: 24 Februari 2026 Sumber: Direktorat IT TMB — RRI

Baca Selengkapnya