Kembali ke Artikel
Keamanan

Siaga Siber: Insiden Server Compromise pada Node Virtualisasi Berhasil Diisolasi dan Dimitigasi

CSIRT Team
28 Feb 2026
Siaga Siber: Insiden Server Compromise pada Node Virtualisasi Berhasil Diisolasi dan Dimitigasi

Jakarta, 25 Februari 2026 – Tim Infrastruktur dan Virtualisasi Data Center Direktorat IT TMB melaporkan telah mendeteksi dan menangani insiden keamanan siber berupa kompromi server pada salah satu node virtualisasi di lingkungan Data Center.

Insiden teridentifikasi pada 25 Februari 2026 setelah ditemukan file dan mekanisme malicious persistence pada salah satu server Proxmox yang berfungsi sebagai node Ceph OSD dan hypervisor VM.

Ringkasan Insiden

Berdasarkan hasil investigasi awal, indikasi kompromi diperkirakan telah terjadi sejak November 2025. Analisis forensik menemukan adanya modifikasi sistem yang bertujuan mempertahankan akses secara tersembunyi (persistence mechanism), termasuk:

  • Injeksi pada service systemd

  • Penjadwalan ulang cron job

  • Modifikasi skrip startup sistem

  • Aktivitas login administratif yang mencurigakan melalui layanan SSH

Node yang terdampak merupakan bagian dari infrastruktur virtualisasi dan penyimpanan terdistribusi (Ceph cluster).

Hingga tahap investigasi ini, tidak ditemukan indikasi aktivitas ransomware maupun eksfiltrasi data.

Dampak Infrastruktur

Dampak teknis yang teridentifikasi meliputi:

  • Beberapa OSD pada cluster Ceph mengalami status down

  • Sebagian placement group (PG) dalam kondisi undersized

  • Peningkatan utilisasi kapasitas cluster hingga mendekati ambang tinggi

  • Degradasi kondisi cluster storage (cluster degraded)

Meskipun demikian, berkat arsitektur redundansi cluster, layanan utama tetap dapat dipertahankan tanpa gangguan luas terhadap operasional.

Langkah Penanganan

Tim IT segera melakukan langkah mitigasi terstruktur sebagai berikut:

  1. Identifikasi dan penghentian seluruh proses mencurigakan

  2. Penghapusan mekanisme persistence dari sistem

  3. Isolasi node terdampak dari cluster untuk mencegah penyebaran

  4. Analisis log autentikasi dan aktivitas administratif

  5. Perencanaan instalasi ulang total server guna memastikan integritas sistem

Langkah reinstall total dilakukan sebagai bagian dari kebijakan clean rebuild untuk menjamin sistem kembali dalam kondisi terpercaya (trusted state).

Penguatan Keamanan Lanjutan

Sebagai tindak lanjut, Direktorat IT TMB melakukan penguatan kontrol keamanan meliputi:

  • Rotasi seluruh kredensial administrator cluster

  • Penonaktifan autentikasi password SSH dan penerapan SSH key only

  • Implementasi Fail2Ban untuk proteksi brute-force

  • Monitoring real-time berbasis Wazuh

  • Audit keamanan menyeluruh pada seluruh node cluster

Langkah ini bertujuan meningkatkan deteksi dini dan memperkuat kontrol akses administratif pada infrastruktur virtualisasi dan storage.

Komitmen Keamanan Infrastruktur

Insiden ini menjadi pengingat pentingnya pengawasan berkelanjutan pada infrastruktur virtualisasi dan penyimpanan terdistribusi. Direktorat IT TMB berkomitmen untuk terus meningkatkan ketahanan siber guna menjaga ketersediaan layanan, integritas sistem, dan stabilitas operasional Data Center RRI.

Klasifikasi Insiden: Server Compromise & Malicious Persistence
Kategori: Unauthorized Administrative Access
Tanggal Deteksi: 25 Februari 2026
Sumber: Direktorat IT TMB — RRI

Artikel ini bermanfaat? Bagikan kepada rekan kerja.

Artikel Lainnya

Siaga Siber: Lonjakan CPU Server Nextcloud Database Berhasil Dimitigasi
Keamanan

Siaga Siber: Lonjakan CPU Server Nextcloud Database Berhasil Dimitigasi

02 Mar 2026
Siaga Siber: Serangan DDoS Skala Besar Berhasil Diblokir oleh WAF RRI
Keamanan

Siaga Siber: Serangan DDoS Skala Besar Berhasil Diblokir oleh WAF RRI

02 Mar 2026
Siaga Siber: Insiden Defacement Aplikasi Drive Cloud Berhasil Dipulihkan dan Diamankan
Keamanan

Siaga Siber: Insiden Defacement Aplikasi Drive Cloud Berhasil Dipulihkan dan Diamankan

02 Mar 2026