Jakarta, 5 Februari 2026 – Direktorat IT TMB melaporkan terjadinya anomali penggunaan CPU secara signifikan pada server Nextcloud Database (DB) yang mendukung layanan Drive RRI (drive.rri.go.id) di Data Center Jakarta.
Insiden ini berhasil diidentifikasi secara cepat melalui sistem monitoring infrastruktur, dan telah ditangani tanpa menyebabkan gangguan layanan publik secara luas.
Ringkasan Insiden
Berdasarkan hasil investigasi teknis:
-
Seluruh core CPU server berada pada 100% utilization
-
Nilai load average meningkat drastis dan tidak normal
-
Ditemukan proses sistem berjalan berulang dalam jumlah besar
-
Teridentifikasi binary non-standar berjalan dengan hak akses root
-
Tidak ditemukan indikasi perubahan konfigurasi aplikasi maupun kerusakan data
Server database tersebut tidak diekspos ke jaringan publik dan hanya menggunakan IP private, sehingga indikasi awal mengarah pada:
-
Aktivitas internal abnormal
-
Kemungkinan lateral movement
-
Atau mekanisme otomatis internal yang tidak sah
Insiden dikategorikan sebagai gangguan keamanan dan stabilitas sistem yang memerlukan tindakan mitigasi segera.
Analisis Teknis
Berdasarkan dokumentasi pada lampiran laporan
:
BEFORE (Saat Insiden)
-
Resource CPU VM mengalami lonjakan ekstrem
-
Ditemukan proses
irq-balance helper12berjalan secara masif dan berulang -
Load CPU penuh pada seluruh core
Monitoring menunjukkan aktivitas proses tidak wajar yang menyebabkan degradasi performa.
AFTER (Pasca Mitigasi)
-
CPU kembali stabil
-
Trend traffic normal
-
Tidak ada proses mencurigakan berjalan
-
Layanan database beroperasi normal
Perbandingan grafik sebelum dan sesudah tindakan menunjukkan pemulihan signifikan terhadap stabilitas sistem.
Tindakan Mitigasi yang Dilakukan
Tim IT dan Distribusi melakukan langkah-langkah berikut:
-
Isolasi sementara server untuk mencegah eskalasi aktivitas
-
Terminasi seluruh proses tidak wajar
-
Backup database secara aman (logical backup)
-
Rebuild server menggunakan image OS bersih
-
Rotasi kredensial secara menyeluruh:
-
Password database
-
Akses SSH
-
Kredensial aplikasi terkait
-
-
Validasi integritas dan memastikan layanan kembali normal
Pendekatan ini dilakukan untuk menjamin tidak adanya persistence mechanism yang tertinggal.
Penguatan Keamanan Pasca Insiden
Sebagai bagian dari evaluasi dan peningkatan keamanan, Direktorat IT TMB merekomendasikan:
-
Segmentasi jaringan internal yang lebih ketat untuk server database
-
Penerapan SSH key-only authentication
-
Menonaktifkan login root langsung
-
Implementasi Host-Based Intrusion Detection System (HIDS)
-
Penerapan egress filtering pada server database
-
Audit berkala akses administrator dan konfigurasi keamanan
Langkah ini bertujuan meningkatkan kontrol lateral movement serta memperkuat model Defense in Depth di lingkungan Data Center RRI.
Dampak terhadap Layanan
Hasil evaluasi menunjukkan:
-
Tidak terjadi kebocoran data
-
Tidak ada perubahan konfigurasi aplikasi
-
Layanan Drive RRI tetap terjaga
-
Sistem kembali stabil setelah tindakan perbaikan
Insiden berhasil ditangani secara cepat dan terkendali.
Klasifikasi Insiden
-
Jenis Insiden: System Resource Abuse / Suspicious Process Activity
-
Target: Nextcloud Database Server
-
Tanggal: 5 Februari 2026
-
Status: Mitigated – Service Stabilized
-
Sumber: Direktorat IT TMB – RRI
