Analisa Serangan Hacker pada Pusat Data Nasional (PDN), Data Masih Memungkinkan Terselamatkan

Bagi Administrator Server pengecekan event viewer ini baiknya dilakukan secara berkala, terutama terkait event-event id security.

PENANGANAN

Jika terjadi akses mencurigakan dalam waktu yang sangat singkat dan jumalahnya banyak maka dipastikan server kita sedang di brute force passwordnya, selanjutnya lakukan beberapa Langkah penanganan sebagai berikut :

• Pastikan Remote Desktop telah didisable
• Pastikan tidak ada user yang di allow untuk melakukan remote desktop
• Pastikan tidak ada aplikasi remote lainnya yang terinstal
• Periksa Traffic Jaringan Keluar/Masuk
• Tutup Port Jaringan jika ditemukan Anomali.
• Pastikan Firewall dalam keadaan Aktif

b. Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.

Untuk mengetahui telah terjadi akses illegal, maka sekali lagi administrator perlu memeriksa event viewer dengan event id 4624, dengan mencocokan apakah benar orang yang trusted  melakukan login ke server pada saat tersebut.

Gambar event viewer dengan Event ID : 4624 (Dokumentasi Pribadi)

 

      PENANGANAN

Jika kita dari audit akses tersebut ditemukan akses illegal maka lakukan Langkah berikut :

• Disable Account User tersebut
• Hubungi Pemilik Account
• Periksa Traffic Jaringan Keluar/masuk
• Tutup Port jika ditemukan Anomali
• Pastikan Filewall dalam keadaan Aktif

c. Hacker telah mengganti password dan mematikan user Administrators dan mematikan service-service.

Pada tahap ini jelas sekali tanda gejalanya,

• Aplikasi di client tidak berjalan
• kita tidak dapat login ke server milik kita
• Server dalam keadaan hidup dan jaringan normal

PENANGANAN

Jika terjadi gejala seperti ini, maka kita segera melakukan Langkah sebagai berikut :

• Datang atau menghubungi petugas onsite
• mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
• Tutup Semua Koneksi Jaringan menuju Server
• Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
• Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
• Perhatikan dengan  jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
• Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
• Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
• Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
• Pastikan tidak ada File-File asing dalam server.

Pada FASE PERTAMA ini data-data dalam server Insyaa Allah masih dalam keadaan aman, belum terkena encrypted.

2. Berikut gejala-gejala yang terjadi pada server pada saat hacker masuk tahap FASE KEDUA

Gejala-gejala pada FASE KEDUA adalah sebagai berikut :

• Kita sudah tidak dapat login ke windows server
• Ketika masih dalam tahap encrypted file, Server terlihat sibuk, Prosesor terutama hardisk indicator terlihat beroperasi sangat kencang
• Ketika Proses Encrypted telah selesai terlihat server indicator sudah tidak terlalu sibuk

PENANGANAN

Jika terjadi gejala seperti berikut ambil Langkah cepat dan jangan ragu untuk  MEMATIKAN SERVER,

• Datang atau menghubungi petugas onsite
• mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
• Tutup semua Akses Jaringan menuju Server
• Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
• Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
• Perhatikan dengan  jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
• Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
• Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
• Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
• Pastikan tidak ada File-File asing dalam server.
• Pastikan File-File data penting masih dalam keadaan Normal, jika ternyata semua sudah terencrypted maka satu-satunya Solusi adalah menggunakan APLIKASI DISK RECOVERY untuk mengangkat data yang telah TERHAPUS, ingat windows sebetulnya tidak bener-bener menghapus data walaupun di recycle bin sudah terhapus, ada banyak software DISK RECOVERY yang bisa kita coba hanya saja butuh effort lebih, krn file tersebut akan kita temukan bukan lagi dengan nama aslinya, bisa jadi sudah dalam nama lain yang dikodekan oleh windows, saya belum pernah mencoba sampai tahapan ini dalam FASE KEDUA, tapi kuat dugaan saya virus menhapus file asli dan mengganti dengan file hasil encrypted dengan nama yang sama.
• Jika ternyata memang tidak dapat lagi diselamatkan via DISK Recovery Langkah terakhir menggunakan Server Backup dan Data Backup.

Kenapa Server harus DIMATIKAN PAKSA, karena Ketika ternyata virus masih dalam Proses Encrypted dan tiba-tiba server mati, maka semua proses encrypted akan terhenti, dan File Asli kemungkinan besar belum terhapus.

IV. PENCEGAHAN

Pencegahan perlu dilakukan sebelum terjadi serangan, berikut Langkah-langkah dasar yang wajib dilakukan tanpa menambah pengadaan perangkat khusus :