Oktober 2022

Sabtu, 1 Oktober 2022
  • Menginstal Chromium pada 50 (lima puluh) unit komputer CBT. Penggantian Google Chrome → Chromium dilakukan karena Google Chrome akan "memaksa" user untuk melakukan reinstal browser karena tidak dapat melakukan update/upgrade secara otomatis. Hal ini kurang cocok dengan kondisi CBT yang membutuhkan kondisi browser bebas distraksi. Chromium tidak memiliki fitur auto-update/upgrade sehingga lebih mudah untuk dimaintenance.
Minggu, 2 Oktober 2022
  • Melakukan koordinasi dengan Sinar Teknik (bapak Komang) untuk melakukan servis AC di ruangan CBT
    • AC depan operator → Dilakukan pembersihan dan penggantian pipa pembuangan air
    • AC samping kanan → Dilakukan pembersihan, servis outdoor dan penggantian/pengisian freon
    • AC kanan belakang → Dilakukan pembersihan, servis outdoor dan penggantian/pengisian freon
    • AC kiri belakang → Dilakukan pembersihan dan servis outdoor
  • Servis AC selesai pada jam 2 siang dan semua AC sudah beroperasi dengan baik
  • Memindah listrik untuk server SISTER karena jalur listrik SISTER dan PLTI terindikasi mengalami korsleting (mencegah hal-hal yang tidak diinginkan).
Senin, 3 Oktober 2022
  • Pantauan router distribusi menunjukkan adanya permasalahan pada load balancing. Setelah diperiksa ternyata salah satu modem (modem 3) mengalami LOS. LOS sudah dilaporkan ke customer service via telepon dan akan di follow up oleh teknisi ke kampus.
  • Melaporkan kerusakan steker/stop kontak listrik yang bermasalah di ruang server (sumber listrik untuk server SISTER) kepada teknisi. Sudah diperbaiki oleh Fadjri. Kerusakan terjadi pada kabel yang putus. perbaikan-steker
  • Memindahkan jalur listrik kembali menggunakan UPS besar untuk server SISTER dan PLTI karena jalur listriknya sudah diperbaiki teknisi.
  • Warming up seluruh komputer CBT untuk persiapan kegiatan di ruangan CBT. 108 unit komputer bisa digunakan, 2 unit tidak bisa diinstal.
  • Menerima kunjungan teknisi Telkom. LOS internet pada modem 3 bisa teratasi pada jam 2 siang dan sudah dicoba statusnya normal seperti sediakala.
Selasa, 4 Oktober 2022
  • Melaksanakan dan mengawasi CBT offline perdana untuk mahasiswa baru sebanyak kurang lebih +350 peserta yang terbagi menjadi 4 sesi (kegiatan dari jam 09.00 sampai dengan 16.00).
  • Memberikan sosialisasi peraturan laboratorium komputer kepada mahasiswa baru yang mengikuti CBT offline.
  • Setup subdomain ojsv3.dinamikakesehatan.unism.ac.id + valid SSL certificate (request by mr. Faudji) untuk kebutuhan upgrade CMS jurnal.
  • Setting Mikrotik untuk UKOM. Mikrotik sudah online, terhubung dengan baik ke VPN milik KEMDIKBUD dan juga terhubung ke sistem CBT yang dikelola KEMDIKBUD. Setting Mikrotik sudah siap untuk melakukan UKOM online.
Rabu, 5 Oktober 2022
  • Patched security issue di website si.unism.ac.id. Terdapat beberapa backdoor yang berhasil disisipkan kedalam CMS. Berhasil dibersihkan dan sudah diamankan.
    • Malware removed
    • Upgrade WordPress ke versi paling baru
    • Upgrade semua plugins aktif ke versi paling baru
    • Removed plugins yang tidak terpakai
File: /var/www/si.unism.ac.id/htdocs/wp-content/plugins/wp-lazyload-wxcQXLzHGCPPNeFa-module/wp-lazyload.php
Exploits:
 => [!] Function (create_function) [line 9]
    - Potentially dangerous function `create_function`
      => create_function('$value', gzuncompress(strrev(substr($data, 32))));$f(substr($data, 0, 32));__halt_compiler()

File: /var/www/si.unism.ac.id/htdocs/wp-content/plugins/wp-lazyload-RbX3MRakKPnvpn7N-module/wp-lazyload.php
Exploits:
 => [!] Function (create_function) [line 9]
    - Potentially dangerous function `create_function`
      => create_function('$value', gzuncompress(strrev(substr($data, 32))));$f(substr($data, 0, 32));__halt_compiler()
  • Ujicoba 50 unit komputer CBT yang akan melaksanakan UKOM. Semua komputer sudah dapat terhubung dengan cbt.kemdikbud.go.id
  • Menugaskan anak-anak magang untuk menutup port USB seluruh komputer CBT yang akan digunakan untuk UKOM sebagai prasyarat untuk mengikuti UKOM
Kamis, 6 Oktober 2022
  • Mencabut access point tambahan di ruangan aula gedung A lantai dasar. Kabel dan access point disimpan dalam ruangan administrasi CBT. Rencananya access point tersebut akan dipindahkan ke gedung D ruangan kelas D10.
  • Menangkap dan mengamankan anak ular sanca/sawa yang ditemukan dalam ruangan CBT. Berhasil dimasukkan kedalam toples dan diserahkan ke pak Amat.
  • Memberikan materi tentang Mikrotik kepada anak-anak magang. Beberapa anak magang meminta materi dan penjelasan sebagai laporan tugas magang.
  • Membersihkan ruangan CBT dan lobby CBT untuk persiapan UKOM yang akan dilaksanakan pada hari sabtu yang akan datang.
  • Mendapatkan laporan SIM tidak dapat diakses. Setelah diselidiki ternyata terjadi crash pada Apache. Fixed dengan cara server direboot dan pemeriksaan konfigurasi Apache.
  • Rekonfigurasi access point diruangan tata usaha. Access point menggunakan nama "Administrasi" dan diproteksi dengan menggunakan WPA-PSK dengan tujuan agar mahasiswa tidak menggunakan access point tata usaha yang dikhususkan untuk pelayanan.
Jumat, 7 Oktober 2022
  • Pukul 09.00 sampai dengan 12.00 melakukan persiapan ruangan CBT dan pertemuan dengan panitia/penanggung jawab uji kompetensi nasional.
    • CBT sudah terkoneksi dengan baik ke server ujian UKOM
    • Ruangan CBT sudah siap dan rapi
    • Ujicoba UKOM tidak ada kendala yang ditemui
    • Terdapat 2 (dua) orang petugas dari DIKTI yang ikut melakukan monitoring dan evaluasi. Keduanya juga sempat memeriksa kesiapan teknis CBT.
  • Memberikan materi dan pelajaran Mikrotik untuk anak-anak magang dari Bina Banua dan SMK Gambut

ps. Untuk test latensi dan speedtest ke server DIKTI, silakan akses https://noc.kemendikbud.go.id/

Sabtu, 8 Oktober 2022
  • Melaksanakan kegiatan uji kompetensi nasional online untuk DIV Bidan (pukul 08.00 pagi sampai dengan 14.00 siang)
  • Melakukan pembersihan ruangan CBT dan administrasi CBT paska selesainya uji kompetensi
  • Tidak ada kendala yang berarti saat uji kompetensi dilaksanakan.
Minggu, 9 Oktober 2022
  • Malware autoscanning memberikan notifikasi bahwa subdomain si.unism.ac.id telah berhasil disusupi dengan shell script. Namun, konfigurasi pada nginx berhasil memitigasi penyusupan ini, sehingga penyusup tidak dapat melakukan eskalasi lebih jauh dan tidak dapat melakukan remote command executions.
  • Untuk menghindari penyusupan dimasa yang akan datang telah dilakukan langkah preventif
    • Removed unused plugins
    • Removed unused themes
    • Melakukan verifikasi hash core WordPress
    • Melakukan verifikasi hash plugins
    • Malware scanning secara manual
    • Removed malicious user

Berdasarkan post-mortem log checking, penyusupan ini memiliki pola sebagai berikut:

  1. Attacker melakukan eksploitasi pada salah satu plugin atau theme yang exploitable dan berhasil menambahkan user baru dengan akses administrator.
  2. Attacker login ke dashboard dan melakukan upload shell script yang disamarkan sebagai plugins dan themes.
  3. Shell script kemudian diakses oleh attacker namun gagal, karena nginx melakukan pemblokiran dan memberikan response 403 kepada attacker
cat /var/log/nginx/si.unism.ac.id.access.log.1 | grep seoplugin
37.19.223.106 - - [07/Oct/2022:10:28:09 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:41 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.110 - - [08/Oct/2022:09:37:27 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:58 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
84.239.40.227 - - [08/Oct/2022:09:57:30 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"

cat /var/log/nginx/si.unism.ac.id.access.log.1 | grep 37.19.223.106
37.19.223.106 0.123 - [07/Oct/2022:10:27:36 +0800] si.unism.ac.id "GET /wp-login.php HTTP/2.0" 200 2762 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 0.090 - [07/Oct/2022:10:27:36 +0800] si.unism.ac.id "POST /wp-login.php HTTP/2.0" 302 0 "https://si.unism.ac.id/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 0.872 - [07/Oct/2022:10:27:37 +0800] si.unism.ac.id "GET /wp-admin/ HTTP/2.0" 200 28920 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 0.314 - [07/Oct/2022:10:27:41 +0800] si.unism.ac.id "GET /wp-admin/user-new.php HTTP/2.0" 200 22168 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 0.288 - [07/Oct/2022:10:27:42 +0800] si.unism.ac.id "POST /wp-admin/user-new.php HTTP/2.0" 302 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 0.246 - [07/Oct/2022:10:27:43 +0800] si.unism.ac.id "GET /wp-admin/theme-install.php?upload HTTP/2.0" 200 24778 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 2.407 - [07/Oct/2022:10:28:04 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-theme HTTP/2.0" 200 19878 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:05 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 0.630 - [07/Oct/2022:10:28:06 +0800] si.unism.ac.id "GET /wp-admin/plugin-install.php?tab=upload HTTP/2.0" 200 21856 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 1.509 - [07/Oct/2022:10:28:08 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-plugin HTTP/2.0" 200 19829 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:09 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 1.196 - [07/Oct/2022:10:28:10 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-plugin HTTP/2.0" 200 19796 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:11 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:11 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"

cat /var/log/nginx/si.unism.ac.id.access.log.1 | grep 89.208.103.207
89.208.103.207 0.135 - [07/Oct/2022:14:14:32 +0800] si.unism.ac.id "GET /wp-login.php HTTP/2.0" 200 2762 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 0.105 - [07/Oct/2022:14:14:32 +0800] si.unism.ac.id "POST /wp-login.php HTTP/2.0" 302 0 "https://si.unism.ac.id/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 0.254 - [07/Oct/2022:14:14:32 +0800] si.unism.ac.id "GET /wp-admin/ HTTP/2.0" 200 28921 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 0.324 - [07/Oct/2022:14:14:33 +0800] si.unism.ac.id "GET /wp-admin/user-new.php HTTP/2.0" 200 22162 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 0.213 - [07/Oct/2022:14:14:35 +0800] si.unism.ac.id "POST /wp-admin/user-new.php HTTP/2.0" 200 22223 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 0.309 - [07/Oct/2022:14:14:36 +0800] si.unism.ac.id "GET /wp-admin/theme-install.php?upload HTTP/2.0" 200 24785 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 2.141 - [07/Oct/2022:14:14:39 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-theme HTTP/2.0" 200 20163 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:39 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 0.332 - [07/Oct/2022:14:14:39 +0800] si.unism.ac.id "GET /wp-admin/plugin-install.php?tab=upload HTTP/2.0" 200 21865 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 1.447 - [07/Oct/2022:14:14:41 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-plugin HTTP/2.0" 200 20205 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:41 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 0.816 - [07/Oct/2022:14:14:42 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-plugin HTTP/2.0" 200 19814 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:42 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:42 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"

cat /var/log/nginx/si.unism.ac.id.access.log.1 | grep 138.199.36.193
138.199.36.193 0.122 - [08/Oct/2022:09:50:50 +0800] si.unism.ac.id "GET /wp-login.php HTTP/2.0" 200 2763 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 0.098 - [08/Oct/2022:09:50:50 +0800] si.unism.ac.id "POST /wp-login.php HTTP/2.0" 302 0 "https://si.unism.ac.id/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 0.454 - [08/Oct/2022:09:50:51 +0800] si.unism.ac.id "GET /wp-admin/ HTTP/2.0" 200 29722 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 0.275 - [08/Oct/2022:09:50:52 +0800] si.unism.ac.id "GET /wp-admin/user-new.php HTTP/2.0" 200 23296 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 0.203 - [08/Oct/2022:09:50:53 +0800] si.unism.ac.id "POST /wp-admin/user-new.php HTTP/2.0" 200 23359 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 0.329 - [08/Oct/2022:09:50:53 +0800] si.unism.ac.id "GET /wp-admin/theme-install.php?upload HTTP/2.0" 200 25923 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 1.439 - [08/Oct/2022:09:50:55 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-theme HTTP/2.0" 200 21330 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:55 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 0.342 - [08/Oct/2022:09:50:56 +0800] si.unism.ac.id "GET /wp-admin/plugin-install.php?tab=upload HTTP/2.0" 200 22996 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 1.532 - [08/Oct/2022:09:50:57 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-plugin HTTP/2.0" 200 21372 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:58 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 0.805 - [08/Oct/2022:09:50:58 +0800] si.unism.ac.id "POST /wp-admin/update.php?action=upload-plugin HTTP/2.0" 200 21014 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:59 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:59 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"

cat /var/log/nginx/si.unism.ac.id.access.log.1 | grep mar.php
157.245.54.120 - - [06/Oct/2022:23:27:44 +0800] si.unism.ac.id "GET /images/mar.php HTTP/2.0" 444 0 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:05 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:09 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:11 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.106 - - [07/Oct/2022:10:28:11 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:39 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:41 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:42 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
89.208.103.207 - - [07/Oct/2022:14:14:42 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.110 - - [08/Oct/2022:09:37:25 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.110 - - [08/Oct/2022:09:37:27 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.110 - - [08/Oct/2022:09:37:28 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
37.19.223.110 - - [08/Oct/2022:09:37:28 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:55 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:58 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:59 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
138.199.36.193 - - [08/Oct/2022:09:50:59 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
84.239.40.227 - - [08/Oct/2022:09:57:28 +0800] si.unism.ac.id "GET /wp-content/themes/seotheme/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
84.239.40.227 - - [08/Oct/2022:09:57:30 +0800] si.unism.ac.id "GET /wp-content/plugins/seoplugins/mar.php HTTP/2.0" 403 106 "https://si.unism.ac.id/wp-admin/plugin-install.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
84.239.40.227 - - [08/Oct/2022:09:57:31 +0800] si.unism.ac.id "GET /wp-content/uploads/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"
84.239.40.227 - - [08/Oct/2022:09:57:31 +0800] si.unism.ac.id "GET /wp-content/uploads/2022/10/mar.php HTTP/2.0" 403 106 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:97.0) Gecko/20100101 Firefox/97.0" "HTTP/2.0"

+----+------------+-----------------+--------------------------+---------------------+---------------+
| ID | user_login | display_name    | user_email               | user_registered     | roles         |
+----+------------+-----------------+--------------------------+---------------------+---------------+
| 2  | eni***     | Eni***          | xxxxxxxxxxxxxx@gmail.com | 2021-10-08 03:10:05 | author        |
| 4  | main****** | main******      | xxxxx@unism.ac.id        | 0000-00-00 00:00:00 | administrator |
| 3  | rus****    | rus**** rus**** | xxxxxxxxx@gmail.com      | 2021-10-11 06:30:23 | administrator |
| 1  | ****min    | admin           | xx@outlook.co.id         | 2019-01-13 11:40:46 | administrator |
| 5  | wadminw    | wadminw         | wadminw@wordpress.com    | 2022-10-07 02:27:41 | administrator | <- malicious user
+----+------------+-----------------+--------------------------+---------------------+---------------+

- ditemukan marijuana shell (https://0x5a455553.github.io/MARIJUANA/)
- ditemukan gel4y shell (https://github.com/22XploiterCrew-Team/Gel4y-Mini-Shell-Backdoor)
Selasa, 11 Oktober 2022
  • Follow up proposal pengadaan headset dan perbaikan headset di ruangan CBT untuk keperluan ujian.
  • Security hardening di subdomain si.unism.ac.id
    • WordPress core force reinstall
    • Themes force reinstall
    • Changed all users password
    • Installed + configured WordFence plugins
    • nginx security rules fine-tuning
  • Melaporkan network disrupt/downtime dan LOS pada koneksi Fibernet. Berhasil diatasi oleh tim Fibernet, meskipun terjadi down selama 34 menit.
Rabu, 12 Oktober 2022
  • Berdasarkan permintaan ibu Novita, hari ini melakukan perubahan pada proposal pengadaan/perbaikan headset. Proposal kemudian diserahkan kembali ke ibu Novita untuk disposisi ke Ibu Rita.
  • Menugaskan anak magang untuk melakukan maintenance komputer CBT merk ACER
    • Melakukan instalasi web browser Mozilla Firefox
    • Memeriksa beberapa lisensi Reboot Restore RX Pro yang memiliki masalah lisensi
Kamis, 13 Oktober 2022
  • Menerima proposal yang sudah di disposisi dari ibu Rita dan sudah disetujui untuk di follow-up ke Ibu Nel.
  • Menugaskan anak magang untuk kembali melakukan maintenance komputer-komputer CBT
  • Melakukan whitelisting pada plugin WordFence yang dipasangkan pada web si.unism.ac.id
  • Memberikan bimbingan kepada anak magang (Yulia) untuk menyelesaikan paper magang tentang dasar-dasar Mikrotik.
  • Melakukan meeting koordinasi bulanan internal Smartcampus secara daring (jam 10.00 sampai dengan 11.00 pagi)
Jumat, 14 Oktober 2022
  • Mendapati apache pada server SIM mengalami overload dan crash. Server kembali normal setelah di reboot. Hasil investigasi menunjukkan indikasi hal ini disebabkan karena adanya masalah pada script absensi SIAKAD. Akan diperiksa lebih lanjut oleh sdr. Rahman. Kejadian apache overload terjadi 2 (dua) kali pada jam 12.00 dan 16.00
  • Melakukan tuning konfigurasi Mikrotik dan Unifi Controller
    • Merubah DHCP leases 1 jam → 10 menit
    • Tuning hotspot dan Unifi karena dalam 2 hari terakhir pengguna hotspot melonjak dari 300 user menjadi +500 user.
Senin, 17 Oktober 2022
  • Melakukan rekonfigurasi Mikrotik untuk menyesuaikan dengan penggunaan internet wifi yang makin intensif dan usernya semakin bertambah.
    • Menambahkan kapasitas DHCP server dari 1.000 users menjadi 2.000 users (10.0.0.0/22 → 10.0.0.0/21)
    • Limit DHCP leased time dinaikkan dari 10 menit → 30 menit
    • Pembatasan IP address per MAC menjadi 1 address saja (defaultnya 2)
    • Rekonfigurasi diharapkan bisa mengatasi permasalahan leased IP pool yang penuh dimasa yang akan datang.
  • Merapikan kabel utama dari CBT yang mengarah ke gedung A dan gedung B. Kedua kabel sudah dirapikan dengan menggunakan wiring duct sehingga lebih aman dan tidak berseliweran dilantai.
  • Follow up pengadaan headset, dan headset sebanyak 24 unit sudah diterima dengan aman. Seluruh headset juga sudah diperiksa dan dinyatakan berfungsi dengan baik.
Selasa, 18 Oktober 2022
  • Menyampaikan laporan tagihan internet kepada bagian keuangan (dua tagihan Indihome, satu tagihan Fibernet untuk biaya instalasi, dan satu tagihan Fibernet untuk penggunaan bulan September)
  • Dalam dua hari terakhir didapatkan informasi bahwa SIAKAD tidak dapat diakses pada saat sore hari (mulai dari jam 15.00 dan seterusnya). Setelah diamati, ternyata tidak ada permasalahan pada sisi server. Apache sangat slow saat memproses SIAKAD/Absensi (namun tidak crash), sehingga NGINX menampilkan pesan error 500 Gateway Timed Out. Permasalahan lebih cenderung pada coding SIAKAD pada bagian absensi dan rekap absensi.
    • Melakukan reboot server SIM untuk mengatasi masalah SIAKAD tidak dapat diakses (temporary fix)
    • Melakukan debugging SIAKAD dengan mr. Rahman
    • SIM yang lain dinyatakan dapat diakses secara normal.
Rabu, 19 Oktober 2022
  • Pada jam 08.00 pagi terindikasi koneksi salah satu ONT Indihome mengalami LOS.
    • Segera dilakukan rekonfigurasi routing sementara pada load balancer agar akses internet bisa normal.
    • Melaporkan gangguan Indihome ke call center Telkom. Dikonfirmasikan bahwa memang benar kondisi sedang LOS, dan pihak Telkom segera melakukan follow up untuk perbaikan (nomor support ticket IN152513265)
    • Gangguan Indihome berhasil diatasi oleh teknisi Telkom pada pukul 13.00. Hal ini terjadi karena ada sambungan fiber optik pada ODP yang bermasalah.
  • Kembali melakukan pemantauan server SIM untuk mengetahui faktor yang menjadi trigger SIAKAD dan absensi tidak dapat diakses.
Kamis, 20 Oktober 2022
  • Mengikuti workshop tata cara pelaksanaan uji kompetensi nasional mahasiswa bidang kesehatan dengan koordinator CBT dan IT lokal CBT center periode III gelombang 2 tahun 2022. Kegiatan berlangsung daring dari pukul 09.30 sampai dengan jam 15.00
Jumat, 21 Oktober 2022
  • Setting Mikrotik RouterBoard RB450G cadangan untuk kebutuhan UKOM. Routerboard disetting dapat melakukan failover antara Fibernet dengan Telkom. Failover berjalan lancar dengan koneksi biasa namun belum di ujicoba dengan VPN. Akan dilakukan ujicoba saat tes koneksi VPN KEMDIKBUD dilaksanakan.
Sabtu, 22 Oktober 2022
  • Memeriksa koneksi untuk kegiatan UKOM dengan peserta 8 orang. IT yang standby adalah mr. Rahman
  • Bermasa anak magang, membersihkan laboratorium komputer dasar dan multimedia di gedung D. Ditemukan sisa-sisa makanan dan tumpahan minuman yang menunjukkan bahwa ada mahasiswa/i yang makan dan minum di dalam laboratorium.
Senin, 24 Oktober 2022
  • Menugaskan anak magang untuk menginstal ulang Reboot Restore RX pada komputer CBT nomor 2
  • Membersihkan ruang administrasi CBT center
Selasa, 25 Oktober 2022
  • Mempersiapkan Routerboard untuk koneksi VPN UKOM. Routerboard yang digunakan adalah RB450G yang menjadi cadangan. Routerboard di setting dengan mekanisme failover 2 (dua) ISP.
    • ether1 = Fibernet (main internet)
    • ether2 = IndiHome modem I (backup internet)
    • ether3 = Klien CBT
    • ether4 = Monitoring
  • Mengirimkan surat permohonan pengawalan jalur domestik kepada Fibernet dan surat permohonan tidak melakukan pemadaman pada PLN.
Rabu, 26 Oktober 2022
  • Fix final config pada Mikrotik dan pemantauan VPN KEMDIKBUD. VPN sudah online selama 2 (dua) hari.
  • Membersihkan ruang CBT untuk persiapan UKOM dan kunjungan pengawas, dan tim monitoring/evaluasi (MONEV) dari DIKTI.
Kamis, 27 Oktober 2022
  • Terjadi downtime pada Fibernet dan sudah dilaporkan via support WhatsApp. Koneksi kembali online, namun terindikasi kurang stabil. Diputuskan untuk menggunakan jalur backup Telkom untuk UKOM.
Jumat, 28 Oktober 2022
  • Melaksanakan ujicoba VPN dan UKOM. Ujicoba berjalan lancar dan tanpa kendala dengan menggunakan jalur internet Telkom.
  • Melaksanakan wawancara dengan petugas MONEV DIKTI tentang kesiapan pelaksanaan UKOM di CBT Universitas Sari Mulia Banjarmasin.
Sabtu, 29 Oktober 2022
  • Pelaksanaan UJI KOMPETENSI MAHASISWA BIDANG KESEHATAN PERIODE III GELOMBANG 2 TAHUN 2022 sesi I dan sesi II. Proses UKOM berjalan lancar tanpa ada kendala masalah teknis.
Minggu, 30 Oktober 2022
  • Pelaksanaan UJI KOMPETENSI MAHASISWA BIDANG KESEHATAN PERIODE III GELOMBANG 2 TAHUN 2022 sesi III. Proses UKOM kembali dapat berjalan lancar tanpa ada kendala masalah teknis. Tim pengawas dan MONEV menyampaikan bahwa proses UKOM di Universitas Sari Mulia berhasil dan sesuai dengan standar yang ditentukan.
  • Saran yang disampaikan oleh tim MONEV adalah lebih baik CBT menyediakan kamera untuk kebutuhan monitoring kegiatan via ZOOM, karena selama ini panitia UKOM lokal menggunakan handphone dan laptop sebagai sarana ZOOM monitoring.