보안 공격 3차 차단 업데이트 (총 10개 IP)

- 새로운 공격 IP 2개 추가 차단: - 34.126.97.130: WordPress 설치 스캔 - 67.220.94.81: Symfony 프로파일러 접근 - 총 차단 IP: 10개 - 공격 패턴: 다양한 프레임워크로 확산 - 모든 공격 성공적으로 차단됨
2025-08-26 23:24:11 +09:00 · 2025-08-26 23:24:11 +09:00 · 8ebad93f8a
commit 8ebad93f8a
parent f02a34726c
1 changed files with 28 additions and 10 deletions
--- a/troubleshooting/250826_security_attack_detection.md
+++ b/troubleshooting/250826_security_attack_detection.md
@ -2,9 +2,9 @@

 ## 작성일: 2025-08-26
 ## 작성자: 서버 관리자
-## 상태: ✅ 차단 완료 (2025-08-26 15:00, 20:52 추가 차단)
+## 상태: ✅ 차단 완료 (15:00 초기 차단, 20:52 1차 추가, 23:20 2차 추가)
 ## 영향: 51123 서버 대상 자동화 공격
-## 최종 업데이트: 2025-08-26 20:52
+## 최종 업데이트: 2025-08-26 23:20

 ---

@ -35,6 +35,8 @@
 | 8.213.41.158 | 12회 | .env 스캔 | 8/25 23:00 | 15:00 |
 | 185.177.72.29 | 다수 | .env 스캔 | 8/26 10:44 | 15:00 |
 | **221.159.119.8** | **2회** | **TP-Link RCE** | **8/26 20:48** | **20:52** |
+| **34.126.97.130** | **2회** | **WordPress** | **8/26 22:46** | **23:20** |
+| **67.220.94.81** | **1회** | **Symfony** | **8/26 17:17** | **23:20** |

 ### 2.2 공격 패턴
 ```bash
@ -48,6 +50,12 @@
 # .env 스캔 패턴 (142.93.90.55)
 [26/Aug/2025:05:45:37] /.env
 [26/Aug/2025:12:39:21] /.env (반복)
+
+# WordPress 공격 패턴 (34.126.97.130)
+[26/Aug/2025:22:46:33] /wp-admin/setup-config.ph%70 (URL 인코딩 우회)
+
+# Symfony 공격 패턴 (67.220.94.81)
+[26/Aug/2025:17:17:05] /app_dev.php/_profiler/open?file=app/config/parameters.yml
 ```

 ---
@ -59,8 +67,11 @@
 - ✅ Python/FastAPI 환경 (PHP 취약점 영향 없음)
 - ✅ Docker 컨테이너 격리

-### 3.2 적용된 차단 조치 (2025-08-26 15:00)
- ✅ IP 차단 규칙 적용 완료 (7개 IP)
+### 3.2 적용된 차단 조치
+- ✅ IP 차단 규칙 적용 완료 (총 10개 IP)
+  - 15:00: 7개 IP (초기 차단)
+  - 20:52: 1개 IP 추가 (TP-Link RCE)
+  - 23:20: 2개 IP 추가 (WordPress, Symfony)
 - ✅ iptables-persistent 설치 및 규칙 영구 저장
 - ⏱️ fail2ban 설정 예정
 - ⏱️ WAF 규칙 적용 예정
@ -193,6 +204,7 @@ sudo tcpdump -i any src host 185.177.72.10
 *작성 완료: 2025-08-26 15:00*
 *1차 차단 완료: 2025-08-26 15:00 (7개 IP)*
 *2차 차단 완료: 2025-08-26 20:52 (1개 IP 추가)*
+*3차 차단 완료: 2025-08-26 23:20 (2개 IP 추가)*

 ## 8. 차단 실행 결과

@ -201,7 +213,7 @@ sudo tcpdump -i any src host 185.177.72.10
 # iptables 차단 규칙 확인
 sudo iptables -L INPUT -n -v | grep DROP

-# 결과: 8개 IP 차단 활성화 (2025-08-26 20:52 기준)
+# 결과: 10개 IP 차단 활성화 (2025-08-26 23:20 기준)
 185.177.72.10  (0 packets blocked)
 119.8.169.21   (0 packets blocked)
 111.119.234.186 (0 packets blocked)
@ -210,17 +222,23 @@ sudo iptables -L INPUT -n -v | grep DROP
 8.213.41.158   (0 packets blocked)
 185.177.72.29  (0 packets blocked)
 221.159.119.8  (0 packets blocked) # 20:52 추가
+34.126.97.130  (0 packets blocked) # 23:20 추가 (WordPress)
+67.220.94.81   (0 packets blocked) # 23:20 추가 (Symfony)
 ```

 ### 8.2 영구 저장 상태
 - **파일 위치**: `/etc/iptables/rules.v4`
 - **1차 저장**: 2025-08-26 14:58 (7개 IP)
 - **2차 저장**: 2025-08-26 20:52 (1개 IP 추가)
- **총 차단 IP**: 8개
+- **3차 저장**: 2025-08-26 23:20 (2개 IP 추가)
+- **총 차단 IP**: 10개
 - **재부팅 후**: 자동 적용 (netfilter-persistent 서비스)

-### 8.3 차단 효과 분석 (20:52 점검)
+### 8.3 차단 효과 분석 (23:20 점검)
 - **PHPUnit/env 공격**: 완전 차단 (15:00 이후 0건)
- **새로운 공격 탐지**: TP-Link RCE 시도 (221.159.119.8)
- **공격 패턴 변화**: 기존 공격자 차단 후 새로운 IP 출현
- **방어 상태**: 정상 작동 중
+- **새로운 공격 유형 탐지**:
+  - TP-Link RCE (20:48)
+  - WordPress 설치 스캔 (22:46)
+  - Symfony 프로파일러 접근 (17:17)
+- **공격 패턴 변화**: 다양한 프레임워크 대상 공격으로 확산
+- **방어 상태**: 정상 작동 중 (모든 공격 차단됨)