Banyak pengguna VPS, terutama pemula, mengalami kasus SSH VPS kena hack yang ditandai dengan:

Muncul banner aneh saat login SSH
Pesan seperti “Was Here”, deface, atau nama grup tertentu
VPS terasa lambat (CPU 100%)
Login SSH berubah atau terkunci

Kasus ini sangat umum dan bukan karena provider jelek, melainkan karena konfigurasi keamanan VPS yang lemah.

🚨 Ciri-ciri VPS SSH Sudah Di-hack

Beberapa tanda paling sering:

Banner aneh saat login SSH
File .bashrc, /etc/motd, atau /etc/issue berubah
Ada user tidak dikenal
Ada SSH key asing di authorized_keys
CPU/RAM tinggi (biasanya mining)
Cron job mencurigakan
Tidak bisa login seperti biasa

Jika deface muncul saat login SSH, hampir pasti attacker sudah mendapat akses root.

🔍 Penyebab Utama VPS Mudah Dihack

1. Login Root + Password

Port SSH default (22)
Password lemah
Tanpa limit login

👉 Bot brute-force di internet scan 24 jam nonstop

2. Tidak Ada Firewall & Fail2Ban

Tanpa:

ufw
fail2ban

Server ibarat rumah tanpa pintu.

3. Script / Software Tidak Aman

Script auto-install sembarangan
Software bajakan / nulled
Web app tidak update

READ : NGINX: worker_processes auto; — Tidak Selalu Optimal

4. SSH Key Bocor

Login dari warnet
Laptop kena malware
SSH key tanpa passphrase

❓ Apakah VPS yang Sudah Di-hack Bisa Diamankan?

Jawaban jujur:

❌ Server yang sudah root compromised TIDAK bisa dipercaya
✔️ Data masih bisa diselamatkan
✔️ Solusi paling aman: Reinstall OS

Namun, dalam kondisi tertentu, pengamanan sementara bisa dilakukan (misalnya untuk ambil data).

🛠️ LANGKAH SOLUSI LENGKAP

🟢 SKENARIO TERBAIK (REKOMENDASI)

Amankan & ambil data penting
Reinstall VPS dari panel
Hardening SSH dari awal

🧩 A. Menghapus Deface SSH (Sementara)

Biasanya deface ada di file berikut:

~/.bashrc
/etc/motd
/etc/profile
/etc/issue
/etc/issue.net

Reset .bashrc:

cp /etc/skel/.bashrc ~/

Kosongkan banner:

nano /etc/motd
nano /etc/issue
nano /etc/issue.net

Restart SSH:

systemctl restart ssh

⚠️ Ini hanya menghilangkan tampilan, bukan menghilangkan backdoor.

🧩 B. Amankan SSH (WAJIB)

1️⃣ Buat User Baru

adduser admin
usermod -aG sudo admin

2️⃣ Gunakan SSH Key (Tanpa Password)

Di laptop:

ssh-keygen -t ed25519

Copy public key ke VPS:

mkdir -p /home/admin/.ssh
nano /home/admin/.ssh/authorized_keys

Permission:

chmod 700 /home/admin/.ssh
chmod 600 /home/admin/.ssh/authorized_keys
chown -R admin:admin /home/admin/.ssh

3️⃣ Kunci SSH

Edit config:

nano /etc/ssh/sshd_config

Set:

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
Port 2222

Restart:

systemctl restart ssh

🧩 C. Firewall & Proteksi Brute Force

Firewall (UFW)

apt install ufw -y
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp
ufw enable

Fail2Ban

apt install fail2ban -y
systemctl enable fail2ban
systemctl start fail2ban

🧩 D. Menghindari Terkunci SSH

Urutan aman:

Pasang SSH key
Test login SSH key
Baru matikan password
Jangan logout session lama sebelum test berhasil

Jika terlanjur terkunci:

Gunakan Console / VNC panel VPS
Aktifkan password sementara
Pasang SSH key

🧩 E. Mengamankan Banner dari Deface

Lock file banner:

chattr +i /etc/motd /etc/issue /etc/issue.net

🧩 F. Update Sistem

apt update && apt upgrade -y

🔐 Checklist Keamanan SSH (Final)

✔️ SSH key only
✔️ Root login disabled
✔️ Password login disabled
✔️ Port SSH bukan default
✔️ Firewall aktif
✔️ Fail2Ban aktif
✔️ Banner dikunci
✔️ Update rutin

READ : BACKUP & RESTORE NGINX DI PRODUCTION Panduan Teknis Mendalam

⚠️ Catatan Penting

Menghapus deface ≠ server aman
Ganti password ≠ server bersih
Antivirus ≠ solusi root compromise

Reinstall tetap solusi paling aman.

✅ Kesimpulan

VPS SSH yang kena hack bisa dicegah 99% dengan:

Konfigurasi SSH yang benar
Disiplin keamanan dasar
Tidak install software sembarangan

Masalah ini bukan soal VPS mahal atau murah, tapi soal konfigurasi.