Pada hari ini, saya melakukan audit rutin pada salah satu Server-Prod-01 berbasis Ubuntu 24.04.3 LTS. Server ini merupakan Dell PowerEdge R620 dengan 40 logical cores. Infrastruktur ini mampu mengelola lebih dari 4,2 juta request dalam 30 hari terakhir, dengan penggunaan CPU rata-rata hanya 7,99%.
Namun, di balik angka efisiensi tersebut, ditemukan anomali serius. Setelah melakukan deep-dive pada log sistem, saya menemukan bahwa server ini telah menjadi "inang" bagi malware terenkripsi yang telah aktif selama hampir 1,5 tahun.
🔍 Diagnosis: Malware "Siluman" & Kebocoran Resource
Berdasarkan investigasi forensik, terdapat tiga temuan kritikal yang mengancam stabilitas sistem:
- 🚀 Malware WordPress Persisten: Ditemukan plugin berbahaya
uniserviceist-multiinfrastructurepada salah satu aplikasi utama. Malware ini telah aktif sejak 24 Juli 2024 dan terus menerima perintah dari server Command & Control (C2). - 🚀 Aktivitas C2 Botnet: Tercatat ada 1.082 POST requests ke endpoint malware dalam periode log terakhir, mayoritas berasal dari IP yang menyamar sebagai Googlebot.
- 🚀 Brute Force SSH & Postfix: Log menunjukkan ribuan upaya akses ilegal dari IP publik luar negeri (seperti
165.245.xxx.xxx) yang mencoba melakukan guessing password secara masif. - 🚀 Disk Bloat (Silent Killer): Ditemukan file backup database MongoDB (.bson) yang tidak terkompresi dengan ukuran mencapai 63GB per file.
🛠️ Tindakan: Optimasi Terlebih Dahulu, Upgrade Nanti
Langkah-langkah eksekusi yang saya lakukan adalah sebagai berikut:
- Pembersihan Malware: Menghapus total direktori malware di
wp-content/plugins/dan membersihkan entriactive_pluginsdi database untuk memutus persistensi. - Hardening Keamanan: Mengoptimalkan Fail2Ban dan CrowdSec untuk memblokir IP penyerang secara otomatis sebelum mereka mencapai application layer.
- Tuning Database: Mengatur ulang proses
mongodyang sebelumnya memakan CPU hingga 77% agar proses indexing berjalan lebih efisien. - Manajemen Storage: Melakukan rotasi backup yang lebih ketat dan menghapus file sampah di direktori
/home/mongo/backup/untuk melegakan kapasitas disk.
📊 Hasil: Performa Maksimal, Biaya Minimal
Setelah tuning selesai, server kembali dalam kondisi prima tanpa perlu upgrade hardware:
| Metrik | Kondisi Akhir |
|---|---|
| Status Malware | 🔴 Terhapus & Terblokir |
| CPU Load | 🟢 Stabil di ~8% (Mampu handle lonjakan) |
| Disk Availability | 🟢 Tersedia 242GB (Aman) |
"Infrastruktur yang besar tanpa pengawasan keamanan ibarat rumah mewah dengan pintu belakang yang tidak pernah dikunci."
Banyak sistem mengalami masalah performa yang disebabkan oleh malware. Setiap langkah yang diambil bertujuan untuk memastikan efisiensi dan keamanan sistem tanpa menambah biaya yang tidak perlu. Untuk informasi lebih lanjut tentang audit dan pemeliharaan server, lihat artikel Studi Kasus Audit & Maintenance Server Linux dan Bedah Kasus Dormant Shell: Forensik Deface di WordPress.
