{"type":"pdf","content":"# SOP PENANGANAN INSIDEN: VPS TERRETAK (HACKED)\n\n## 1. FASE ISOLASI (CONTAINMENT)\nTujuan utama fase ini adalah menghentikan aktivitas peretas seketika dan mencegah penyebaran serangan ke jaringan lain.\n* **Masuk ke Rescue Mode:** Jika penyedia VPS Anda menyediakannya, segera aktifkan *Rescue Mode* atau *Recovery Mode* melalui panel kontrol VPS. Ini akan memuat sistem operasi bersih yang terpisah dari disk yang terinfeksi.\n* **Putuskan Koneksi Jaringan Non-Esensial:** Jika tidak ada *Rescue Mode*, batasi lalu lintas masuk menggunakan firewall eksternal (Security Groups) dan hanya izinkan IP publik Anda untuk mengakses port SSH.\n* **Amankan Sesi Aktif:** Ubah segera kata sandi akun root dan pengguna lain yang memiliki hak akses sudo.\n\n## 2. FASE INVESTIGASI (ANALISIS FORENSIK)\nSebelum menghapus apa pun, Anda harus memahami bagaimana peretas masuk dan apa saja yang telah mereka ubah.\n* **Periksa Pengguna Aktif:** Gunakan perintah `who` atau `w` untuk melihat siapa saja yang sedang login saat ini.\n* **Periksa Proses yang Mencurigakan:** Jalankan perintah `ps auxf` atau `htop` untuk melihat pohon proses. Cari proses dengan nama aneh atau yang menggunakan CPU\/RAM mendekati 100% (indikasi *crypto miner*).\n* **Analisis Koneksi Jaringan:** Gunakan perintah `ss -tulpn` atau `netstat -tulpn` untuk melihat port mana saja yang terbuka dan koneksi keluar yang aktif (indikasi *reverse shell* atau *botnet*).\n* **Periksa Log Sistem:**\n  * Debian\/Ubuntu: `\/var\/log\/auth.log`\n  * CentOS\/RHEL: `\/var\/log\/secure`\n  * Cari percobaan login sukses yang tidak dikenal atau aktivitas `sudo`.\n* **Periksa Backdoor SSH:** Periksa file `~\/.ssh\/authorized_keys` untuk semua pengguna. Peretas sering kali menanamkan SSH Key mereka di sini agar tetap bisa masuk meskipun kata sandi telah diubah.\n* **Periksa Cron Jobs:** Periksa tugas terjadwal yang mencurigakan menggunakan `crontab -l` untuk setiap pengguna, serta direktori `\/etc\/cron*`.\n\n## 3. FASE PEMULIHAN (RECOVERY)\nAda dua pendekatan dalam fase ini. Berikut adalah perbandingannya:\n\n| Aspek | Metode 1: Pembersihan Manual | Metode 2: Reinstall & Restore (Sangat Direkomendasikan) |\n| :--- | :--- | :--- |\n| **Tingkat Keamanan** | Rendah-Sedang (Sangat mungkin ada *backdoor* yang terlewat) | Sangat Tinggi (Sistem kembali ke kondisi bersih 100%) |\n| **Waktu Pengerjaan** | Lama (Butuh analisis mendalam) | Cepat (Jika memiliki backup data bersih) |\n| **Risiko Kehilangan Data** | Rendah | Sedang (Tergantung pembaruan backup terakhir) |\n\n**Rekomendasi Terbaik:** Selalu lakukan **Reinstall OS** secara total. Sistem yang sudah pernah disusupi tidak akan pernah bisa dipercaya 100% karena peretas tingkat lanjut dapat menyembunyikan *rootkit* di tingkat kernel yang tidak terdeteksi oleh pemindai standar.\n\n## 4. FASE PENGERASAN KEAMANAN (HARDENING)\nSetelah sistem bersih atau setelah melakukan instalasi ulang, terapkan langkah pencegahan berikut:\n* **Gunakan SSH Key Authentication:** Matikan autentikasi berbasis kata sandi di `\/etc\/ssh\/sshd_config` (`PasswordAuthentication no`).\n* **Ubah Port SSH Default:** Ubah port 22 ke port kustom (misalnya 2282).\n* **Batasi Akses Root:** Nonaktifkan login root langsung (`PermitRootLogin no`). Gunakan pengguna biasa dengan hak akses `sudo`.\n* **Pasang Firewall & Fail2ban:** Aktifkan UFW (Ubuntu) atau Firewalld (CentOS) dan instal `fail2ban` untuk memblokir IP yang melakukan *brute force*.\n* **Pembaruan Otomatis:** Aktifkan *unattended-upgrades* agar sistem selalu mendapatkan patch keamanan terbaru secara otomatis."}