BAB IV BEST PRACTICE PENANGANAN BACKDOORING PHP SHELL
B. Backdooring Php Shell Pada Simpeg
Peraturan Presiden nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE) yang merupakan penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi dan komunikasi untuk memberikan
pemerintahan yang bersih, efektif, transparan, dan akuntabel serta pelayanan public yang berkualitas dan terpercaya dengan tetap memperhatian unsur-unsur sebagai berikut:
1. Rencana Induk SPBE; 2. Arsitektur SPBE; 3. Peta Rencana SPBE;
4. Rencana dan Anggaran SPBE; 5. Proses Bisnis;
6. Data dan Informasi; 7. Infrastruktur SPBE; 8. Aplikasi SPBE;
9. Keamanan SPBE; dan 10. Layanan SPBE.
Sehingga aspek menjaga keberlangsungan Aplikasi, Data dan Informasi serta Keamanan dari SPBE itu sendiri, merupakan hal yang menjadi domain utama dalam hal menjalankan peran Pusdatin sebagaimana tertuang dalam Peraturan Menteri Hukum dan HAM Nomor 2 Tahun 2018 tentang Penyelenggaraan Sistem Elektronik di lingkungan Kementerian Hukum dan HAM, yang menyatakan bahwa Tata Kelola Penyelenggaraan Sistem Elektronik pada tingkat Kementerian dikoordinasikan oleh Pusdatin.
Kementerian Hukum dan Hak Asasi Manusia dalam hal berinovasi dalam penerapan e-government salah satunya yaitu dalam hal pengembangan Sistem Informasi. Sehingga semua masing-masing unit kerja berusaha agar setiap tugas dan fungsi di laksanakan dengan secara sistem komputerisasi (aplikasi) guna untuk mempercepat proses kerja dari masing-masing unit tersebut. Salah satu aplikasi yang digunakan adalah https://simpeg.
kemenkumham.go.id , berikut ini tampilan depan aplikasi tersebut :
Gambar 2: Tampilan depan aplikasi simpeg.
Aplikasi ini merupakan Sistem Informasi Kepegawaian yang digunakan untuk mengelola administrasi kepegawaian di lingkungan Kementerian Hukum dan HAM, yang meliputi pendataan Pegawai, Pengolahan Data, Prosedur, Penilaian Kinerja, SDM untuk menghasilkan informasi yang cepat, lengkap dan akurat dalam rangka mendukung administrasi kepegawaian.
Sistem Informasi Kepegawaian atau yang sering disebut juga dengan SIMPEG, merupakan Sistem Informasi berbasis Web yang sudah dibangun pada tahun 2011, selama perjalanan hingga tahun 2020 terdapat beberapa perubahan/pengembangan. Sehingga Algoritma dari SIMPEG tersebut sudah banyak berubah dan tentunya dengan aspek keamanan pada sisi Source Code dapat menjadi Issue, dikarenakan aplikasi tersebut tidak dikembangkan oleh satu pengembang, akan tetapi banyak pengembang.
SIMPEG di hosting pada environment Data Center Kementerian Hukum dan HAM, yang adapun Pengelolaan Data Center tersebut dikelola oleh Pusdatin, namun pengelolaan Admin dari Aplikasi di kelola
oleh Biro Kepegawaian. Dengan tetap memperhatikan aspek Keamanan dan Performa, Pusdatin mengelola Bare Metal Server sebagai hosting SIMPEG. Hal ini dimaksudkan untuk menghandle concurrent user yang tinggi dikarenakan SIMPEG diakses setiap harinya oleh seluruh pegawai Kementerian Hukum dan HAM termasuk namun tidak terbatas pada mengisi Jurnal Harian Pegawai.
Seiring berjalannya waktu, terdapat permasalahan keamanan terhadap aplikasi SIMPEG, hal tersebut ditemukan oleh Pusdatin pada hari Selasa tanggal 2 Juni tahun 2020 pukul 12.16 yang mana hal tersebut didasari dari hasil identifikasi awal Pusdatin pada laman depan aplikasi yang sudah tidak bisa diakses, sehingga menampilkan tampilan seperti berikut ini:
Gambar 3: Aplikasi teknologi informasidak bisa diakses
Indikasi awal sebelum melakukan pengecekan adalah laman tidak bisa diakses dikarenakan beberapa kemungkinan seperti server mengalami permasalahan, jaringan pada server bermasalah, atau ada crash/kerusakan dalam aplikasi. Sehingga mengacu pada prosedur pengaduan penanganan
Cyber, selanjutnya dilakukan proses langkah-langkah sebagai berikut :
1. Mitigasi Awal
Pusdatin sebagai langkah mitigasi awal, yaitu melakukan langkah memutus jalur akses aplikasi dari public dan melakukan blocking jalur
outbound dan inbound terhadap IP Address dari Server SIMPEG yang
sudah mengalami compromised untuk dilakukan Analisa.
2. Deteksi dan Analis terhadap kerusakan yang telah di timbulkan dari insiden Cyber Security yang dialami.
Pusdatin setelah dilakukannya mitigasi awal, maka selanjutnya Pusdatin melaksanakan analisis terhadap seberapa jauh kerusakan yang ditimbulkan dari insiden Cyber Security yang dialami.
3. Pengecekan Server dan Jaringan.
Telah dilakukan pengecekan terhadap server dan jaringan pada aplikasi lebih mendalam, layanan webserver pada server berjalan normal, kemudian ditemukan pada server aplikasi tersebut bahwa file aplikasi tidak bisa di load atau akses oleh sistem aplikasi tersebut. kondisi jaringan tidak mengalami permasalahan dikarenakan trafik data bisa dilakukan keluar dan ke dalam. Untuk memutus rantai permasalahan untuk sementara jaringan akses dari luar ke dalam aplikasi di putuskan.
4. Pengecekan pada perangkat security.
Kronologi dari log yang sudah di inspeksi oleh perangkat Big IP F5, terdapat komponen log pada perangkat Big IP F5 di Application Security Manager yang menunjukkan aktivitas yang tidak sesuai dengan environtmen aplikasi SIMPEG. Aktivitas tersebut mengakses sebuah file yang ada pada server dengan direktori/rekrutmen/index_bak.php pada tanggal 29 Mei 2020 pada pukul 14:32.
Gambar 4. aktivitas yang tidak sesuai dengan environtmen aplikasi SIMPEG
1) Ketika melakukan pencarian kepada real server simpeg, ditemukan script shell, dan ketika dijalankan script menunjukkan akses file manager pada real server di mana file manager tersebut bisa membuat, mengubah maupun menghapus direktori atau file pada real server. Biasanya pada dunia komputer file ini bisa disebut backdoor.
2) Setelah dilakukan pencarian pada log perangkat keamanan Big IP F5, ditemukan beberapa aktivitas yang tidak biasa dengan environment dari aplikasi SIMPEG. Sehingga ditemukan lagi log activity pada 01 juni 2020 bahwa adanya penanaman backdoor pada aplikasi SIMPEG dan melakukan payload dengan menjalankan command ‘chmodok=0777&z=Go+!
Gambar 5. Penanaman backdoor pada aplikasi SIMPEG
3) Selanjutnya pada 02 juni 2020, dilakukan tracking IP Address penyerang, dan hasil pengecekan dari perangkat security ditemukan beberapa IP a ddress penyerang yaitu 103.120.168.123, 114.125.57.72, 182.1.32.210, 182.1.32.12,182.1.33.206 dan selanjutnya Pusdatin melakukan tracking terhadap ISP pemilik IP Address tersebut, sehingga dihasilkan data sebagai berikut:
5. Melakukan pembersihan terhadap kemungkinan adanya injeksi PHP Shell pada lokasi folder lainnya.
Setelah ditemukannya lokasi aktivitas pemasangan backdoor pada Aplikasi, maka Pusdatin selanjutnya melakukan sweeping terhadap kemungkinan adanya backdoor pada Aplikasi yang diletakan pada lokasi yang berbeda. Dan Pusdatin tidak menemukan hal tersebut, sehingga dapat disimpulkan lokasi penanaman backdoor hanya pada 1 (satu) lokasi saja.
6. Melakukan Recovery/pemulihan
Pusdatin bersama dengan Biro Kepegawaian melakukan pemulihan terhadap Aplikasi SIMPEG dengan cara melakukan restore Data dan Aplikasi yang sudah pernah dilakukan backup. Adapun langkah yang diambil adalah:
1) Setelah diketahui akibat permasalahan server aplikasi SIMPEG tersebut, dilakukan pendeteksian potensi gangguan lebih lanjut terhadap kemungkinan sumber masalah lain oleh tim Pusdatin. 2) Tim Pusdatin mengalokasikan server pengganti untuk
mengaktifkan modul absensi online mengingat hal tersebut merupakan menjadi penting mengingat kondisi Pandemi Covid-19.
3) Tim Pusdatin bersama dengan Biro Kepegawaian melakukan restore file backup aplikasi dan file Backup Database terakhir guna menjalankan kembali aplikasi SIMPEG.
4) Sebelum dilakukan publish, Tim Pusdatin melakukan identifikasi/ Mitigasi Awal terkait perkiraan adanya backdoor pada backup aplikasi terakhir.
5) Setelah tidak ditemukannya backdoor, selanjutnya dilakukan pengecekan terhadap keberfungsian modul-modul aplikasi oleh Tim Biro Kepegawaian.
7. Melakukan komunikasi dengan instansi terkait terhadap adanya serangan yang dialami. Pusdatin telah melakukan komunikasi terhadap pihak terkait guna melaporkan terhadap insiden Cyber Security yang terjadi pada Aplikasi SIMPEG.