Post cover image

June 10, 2026

Dari Plugin Usang Menjadi Bencana Root: Anatomi Serangan Siber pada Shared Environment dan Cara…

Sebagai praktisi keamanan siber, kita sering mendengar teori tentang bagaimana satu kerentanan kecil bisa meruntuhkan seluruh…

Teguh Rijanandi

3 min read

Sebagai praktisi keamanan siber, kita sering mendengar teori tentang bagaimana satu kerentanan kecil bisa meruntuhkan seluruh infrastruktur. Baru-baru ini, saya menangani sebuah insiden nyata yang menjadi contoh sempurna dari sebuah serangan berantai: bermula dari Web Shell biasa, berujung pada Root Compromise yang mematikan.

Artikel ini akan membedah kronologi insiden tersebut, bagaimana peretas (hacker) memanfaatkan kesalahan konfigurasi sistem, dan langkah mitigasi yang berlandaskan pada kerangka kerja keamanan global seperti NIST dan OWASP.

Latar Belakang Insiden

Insiden ini terjadi pada sebuah server Linux yang menggunakan arsitektur shared environment melalui web control panel (seperti cPanel atau aaPanel). Server tersebut menampung puluhan domain dan sub-domain aplikasi web — mulai dari WordPress, aplikasi jurnal OJS, hingga NodeJS — di dalam satu direktori induk (misal: /www/wwwroot/).

None

Gejala Awal:_ Administrator menyadari bahwa file-file di berbagai direktori website terus-menerus terhapus secara misterius. Meskipun file-file tersebut dipulihkan (restore) dari_ backup_, dalam hitungan menit file-file itu lenyap kembali._

Pola ini mengindikasikan adanya persistence malware (malware yang menetap) yang aktif berjalan di latar belakang (background process).

Kronologi Serangan (The Attack Chain)

Analisis log dan proses sistem mengungkapkan bahwa serangan ini terjadi dalam tiga fase utama, mengikuti pola Cyber Kill Chain.

Fase 1: Initial Access (Pintu Masuk via WordPress)

Semuanya bermula dari salah satu instalasi WordPress di domain blog.xxx.id. Analisis log access Nginx menunjukkan ribuan POST request yang diarahkan ke file PHP mencurigakan di dalam direktori unggahan:

POST /wp-content/uploads/alfa.php HTTP/1.1 200
POST /wp-content/uploads/mini.php HTTP/1.1 200

Analisis: Peretas memanfaatkan kerentanan pada plugin atau tema WordPress yang tidak diperbarui untuk melakukan eksploitasi Unrestricted File Upload. Mereka berhasil mengunggah skrip Web Shell (seperti ALFA TEaM Shell).

Fase 2: Privilege Escalation (Eskalasi Akses ke Root)

Jika peretas hanya berhenti di Web Shell, mereka seharusnya hanya memiliki akses sebatas user web (seperti www atau www-data). Namun, insiden ini memburuk karena adanya kesalahan konfigurasi fatal pada control panel server.

Dari investigasi cron jobs (tugas terjadwal Linux), ditemukan baris berikut:

sudo -u root bash -c '/www/server/php/84/bin/php /www/wwwroot/blog.xxx.id/wp-cron.php'

Control panel diatur untuk menjalankan fungsi WordPress Cron (wp-cron.php) setiap 1 menit menggunakan hak akses ROOT. Peretas yang telah menguasai file web di Fase 1 menyadari celah ini. Mereka menyuntikkan (inject) malicious payload ke dalam wp-cron.php.

Hasilnya: Eksekusi kode jahat mereka kini difasilitasi langsung oleh sistem operasi dengan kekuatan penuh sebagai Root.

Fase 3: Persistence & Execution (Penyembunyian dan Eksekusi)

Setelah menjadi root, peretas mulai menguasai server sepenuhnya. Melalui utilitas pengecekan proses (lsof dan ps), terungkap bahwa peretas melakukan tiga hal:

  1. Membuat Folder Obfuscation: Membuat folder tiruan seperti /www/wwwroot/blog.xxx.idfgx untuk mengecoh administrator.
  2. Menanamkan (Dropping) Binary Rootkit: Mengunduh dan menjalankan binary seperti x64_nc (modifikasi Netcat untuk Reverse Shell) dan skrip bash yang berjalan sebagai daemon di latar belakang.
  3. Destruksi: Skrip bash tersebut terus melakukan perulangan (loop) untuk menghapus seluruh file di direktori web lintas domain, menghancurkan isolasi fiktif yang disediakan oleh control panel.

Langkah Penyelesaian (Incident Response)

Mengacu pada panduan NIST SP 800–61 Rev. 2 (Computer Security Incident Handling Guide), fase penanganan difokuskan pada Containment, Eradication, dan Recovery.

1. Containment (Pembendungan Darurat)

Untuk menghentikan skrip yang terus menghapus file, layanan Cron dan layanan Web (Nginx & PHP-FPM) dimatikan secara paksa untuk memutus pemicu malware.

systemctl stop crond
systemctl stop php-fpm*

2. Eradication (Pemberantasan)

Menggunakan perintah lsof +D /www/, kami melacak Process ID (PID) dari skrip berbahaya (bash, x64_nc) yang sedang "menahan" direktori web, lalu melakukan penghentian paksa (kill -9 <PID>). Setelah proses dihentikan, seluruh folder palsu dan backdoor binary dihapus. Selain itu, cron job berbahaya yang mengeksekusi PHP sebagai root langsung dibersihkan dari sistem.

Mitigasi Jangka Panjang: Pentingnya Arsitektur yang Mengisolasi (Sandboxing)

Sistem shared hosting konvensional sangat rentan terhadap serangan Lateral Movement (pergerakan menyamping peretas dari satu web ke web lain). Berdasarkan praktik terbaik keamanan, kami merombak arsitektur server menuju Containerization.

Dengan menggunakan Docker, setiap website (beserta Nginx dan PHP-FPM miliknya) kini dikurung di dalam container mandiri.

  • Isolasi File System: Jika Website A berhasil disusupi Web Shell, peretas hanya bisa melihat file milik Website A. Mereka tidak bisa melintasi direktori (../) untuk meretas Website B.
  • Pembatasan Hak Akses: Container berjalan dengan user namespaces yang membatasi ekskalasi hak akses. Serangan ke sistem operasi Host menjadi sangat sulit dilakukan.

Kesimpulan

None

Keamanan siber bukanlah tentang membangun dinding yang tidak bisa ditembus — karena cepat atau lambat, aplikasi Anda mungkin akan rentan — melainkan tentang bagaimana merancang sistem di mana keruntuhan satu dinding tidak menyebabkan keruntuhan seluruh bangunan.

Terapkan selalu Principle of Least Privilege dan pertimbangkan kontainerisasi untuk beban kerja web modern Anda.

Catatan: Artikel ini ditulis berdasarkan pengalaman nyata (Post-Mortem Analysis) dengan data domain yang telah dianomimkan untuk melindungi privasi pihak terkait.