29 Juli 2016 - 00:37:27 - Read: 586

Ketika Server LPSE "was infected" Sebuah Rootkit

Ini adalah cerita lama, beberapa tahun lalu. Eh, gak ding. Baru sekitar setahun yang lalu, tentang server LPSE yang terinfeksi oleh rootkit. Bingung juga itu rootkit bisa tembus ke server pegimane caranye. Kemungkinan sih cuma 2, konfigurasi server yang vulnerable, atau dari aplikasi SPSE yang notabene bisa terbilang Semi Open Source, walaupun hanya dikalangan ASN di bidang IT. Tapi kan rocker juga manusia, sama hanya dengan ASN. Manusia juga, yang penuh khilaf dan hacker. Oh iya, 3 kemungkinan berarti. Tambah satu faktor "aku" nya aja yang bodoh. :D

Aplikasi SPSE adalah framework yang dibuat oleh LKPP, yang dipakai oleh semua LPSE di Indonesia. Kalo sebuah LPSE berhasil dijebol karena sebuah bugs, berarti bugs ini berlaku juga kan dengan LPSE lainnya? ^_^

Tapi ada juga kemungkinan lain server LPSE Kota Ternate jebol karena OS Debian 6 nya. Karena setelah "kemungkinan" server terkena rootkit, dari pihak LKPP meminta LPSE Kota Ternate mengganti OS Debian 6 dengan CentOS 7. Nah loh.

Yarp, jadi awal mula kisah ini dahulu kala, udah aku jabarkan didalam email yang aku kirimkan ke mereka

Assalamualaikum,
Selamat pagi LKPP.

Email pengaduan ini sudah kesekian kalinya. Pengaduan sebelumnya juga sudah disampaikan melalui Helpdesk, kemudian dilanjutkan ke pak E, bagian IT LKPP.

Inti permasalahan:
Salah satu process yang berjalan di server SPSE membanjiri trafik jaringan.

Sebelumnya saya sudah melakukan analisa terlebih dahulu sebelum saya mengambil kesimpulan diatas. Berikut analisa didalam server yang telah saya lakukan.

TOPOLOGI {AWAL} LPSE KOTA TERNATE

{INTERNET} --- [modem] --- [switch] --- Server LPSE
__________________________||
__________________________||
___________________[ Mikrotik / LAN ]

Analisa:
- Jika koneksi Server LPSE dilepas, jaringan Internet lancar. Jika disambungkan kembali, jaringan internet langsung lambat. Setelah di cek dari MRTG, traffik Upload Full. Yang berarti ada data yang keluar dari jaringan.

Kesimpulan Awal:
1. Server SPSE Di DDoS
tapi setelah melihat logs, tidak ada IP atau aktivitas dari luar yang mencurigakan.
2. Server SPSE Terkena Malware

Kemudian saya analisis lebih lanjut lagi dari sisi Server:

---------------------------------------------------------------------------------------------------------------
$ top
 top - 11:41:26 up 38 min,  2 users,  load average: 0.26, 0.22, 0.23
 Tasks: 138 total,   1 running, 137 sleeping,   0 stopped,   0 zombie
 Cpu(s):  9.3%us,  9.3%sy,  0.0%ni, 78.3%id,  0.0%wa,  0.0%hi,  3.1%si,  0.0%st
 Mem:   1022664k total,   578672k used,   443992k free,    15420k buffers
 Swap:  1998840k total,        0k used,  1998840k free,   237664k cached
 
   PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 12400 root      20   0 68160 2160  212 S   64  0.2   3:54.81
 kxskpythwa
 12313 root      20   0 25708  768  208 S   22  0.1   3:03.93
 kgtzgwipsr
  8273 root      20   0  2464 1204  896 R    0  0.1   0:01.74 top
     1 root      20   0  2032  744  652 S    0  0.1   0:01.78 init
     2 root      20   0     0    0    0 S    0  0.0   0:00.00 kthreadd
     3 root      RT   0     0    0    0 S    0  0.0   0:00.00
 migration/0
     4 root      20   0     0    0    0 S    0  0.0   0:00.06
 ksoftirqd/0
     5 root      RT   0     0    0    0 S    0  0.0   0:00.00
 watchdog/0
     6 root      RT   0     0    0    0 S    0  0.0   0:00.00
 migration/1
     7 root      20   0     0    0    0 S    0  0.0   0:00.00
 ksoftirqd/1
     8 root      RT   0     0    0    0 S    0  0.0   0:00.00
 watchdog/1
     9 root      RT   0     0    0    0 S    0  0.0   0:00.00
 migration/2
    10 root      20   0     0    0    0 S    0  0.0   0:00.00
 ksoftirqd/2
    11 root      RT   0     0    0    0 S    0  0.0   0:00.00
 watchdog/2
    12 root      RT   0     0    0    0 S    0  0.0   0:00.00
 migration/3
    13 root      20   0     0    0    0 S    0  0.0   0:00.00
 ksoftirqd/3
    14 root      RT   0     0    0    0 S    0  0.0   0:00.00
 watchdog/3
    15 root      20   0     0    0    0 S    0  0.0   0:00.11 events/0
    16 root      20   0     0    0    0 S    0  0.0   0:00.01 events/1
    17 root      20   0     0    0    0 S    0  0.0   0:00.00 events/2
    18 root      20   0     0    0    0 S    0  0.0   0:00.01 events/3



-------------------------------------------------------------------------------------------------------------

Penggunaan memory paling besar digunakan oleh kedua process ini:

 12400 root      20   0 68160 2160  212 S   64  0.2   3:54.81
 kxskpythwa
 12313 root      20   0 25708  768  208 S   22  0.1   3:03.93 kgtzgwipsr

Jika kedua process tersebut saya 'kill -9' jaringan internet kembali normal. Tapi beberapa detik kemudian, muncul lagi 2 process baru dengan nama RANDOM seperti kedua process diatas.

Cat:
Service yang sedang LISTEN juga tidak ada yang aneh:

=====================================================

 root@lpse-ternate:~# nmap -sT -O localhost
 
 Starting Nmap 5.00 ( http://nmap.org ) at 2015-04-14 11:37 EIT
 Interesting ports on localhost (127.0.0.1):
 Not shown: 991 closed ports
 PORT     STATE SERVICE
 21/tcp   open  ftp
 25/tcp   open  smtp
 80/tcp   open  http
 666/tcp  open  doom
 3128/tcp open  squid-http
 5432/tcp open  postgresql
 8009/tcp open  ajp13
 8080/tcp open  http-proxy
 8081/tcp open  blackice-icecap


==========================================================

service 666/doom saya gunakan sebagai alternatif SSH,
service 8009/ajp13 setelah saya lihat:

 $ netstat -anp | grep 8009
 tcp6       0      0 :::8009                 :::*
 LISTEN      1939/java

begitu juga dengan service 8081/blackice-icecap

Karena service menjalankan java, dan SPSE juga dibuat menggunakan Java (?), maka saya simpulkan masalah Website LPSE Kota Ternate yang berat saat diakses, begitu juga dengan jaringan didalam LAN Kantor LPSE disebabkan karena process yang berasal dari Server LPSE, yang tidak berani saya ambil tindakan, karena saya kurang yakin, apakah kedua process tersebut merupakan salah satu bagian dari process yang dijalankan oleh aplikasi SPSE.

Atas hasil analisa yang telah saya lakukan ini, saya mohon dengan sangat, agar bagian teknis LKPP bisa melakukan remote ke server LPSE Kota Ternate untuk meninjau lebih lanjut tentang permasalahan ini.

Nb:
Konfigurasi untuk remote sudah saya ubah. Jika ingin melakukan remote ke server LPSE Kota Ternate, harap konfirmasi terlebih dahulu, bisa melalui email ini, agar saya bisa standby di lokasi jika sewaktu-waktu saya dibutuhkan.

Terima kasih sebelumnya

Regards,
Admin LPSE Kota Ternate

Nah, gitu ceritanya :D

Jadi maksud dari aku nge-share cerita gak bermanfaat ini adalah,

  • Buat para user, biasakan menganalisa dulu sebuah masalah sebelum komplain. Masa sih, tinta warna hitam habis, komplain ke bagian IT minta ganti printer? -__-
  • Buat seluruh LPSE di Indonesia yang masih menggunakan Debian 6, segera upgrade ke Debian 7, atau ganti ke CentOS 7. Karena begitulah kira-kira rekomendasi dari LKPP. :)
  • Buat ASN bagian IT, khususnya yang bersentuhan langsung dengan server LPSE di instansi masing-masing, kalo nemu bugs di aplikasi SPSE bagi-bagilah. Nggak..nggak.. bukan buat di-anu-kan. Tapi biar yang lain juga pada tahu kalo ada bugs, dan bisa segera di patch. :p
  • Buat para gebetan diluar sana, masa sih kalian masih nganggap "adek-kakak" an dia terus? :D
  • Dan buat semua yang baca artikel ini, No System is Safe. You are good. But hacker's always better.

Dan yang paling penting, dukung terus transparansi aktivitas pengadaan secara elektronik di Indonesia, agar terwujud Indonesia yang bersih dan #upss #PLAKK

Yarp, pokoknya gitu.