보안 문서 업데이트: SSH 브루트포스 공격 방어 추가

- SSH 무작위 공격 IP 3개 차단 (103.251.247.158, 112.216.129.27, 85.235.135.46) - fail2ban 설치 및 SSH 방어 설정 추가 - 총 차단 IP 18개로 증가 (HTTP 14개 + SSH 4개) - 자동 차단 시스템 구축 완료 🤖 Generated with [Claude Code](https://claude.ai/code) Co-Authored-By: Claude <noreply@anthropic.com>
2025-09-24 14:43:56 +09:00 · 2025-09-24 14:43:56 +09:00 · aed3b24f25
commit aed3b24f25
parent 98a44d1733
1 changed files with 55 additions and 3 deletions
--- a/troubleshooting/250826_security_attack_detection.md
+++ b/troubleshooting/250826_security_attack_detection.md
@ -4,7 +4,7 @@
 ## 작성자: 서버 관리자
 ## 상태: ✅ 차단 완료 (8/26 초기, 9/10 추가)
 ## 영향: 51123 서버 대상 자동화 공격
-## 최종 업데이트: 2025-09-10 15:20
+## 최종 업데이트: 2025-09-24 14:45

 ---

@ -203,7 +203,7 @@ sudo tcpdump -i any src host 185.177.72.10

 ---

-*최종 차단: 2025-09-10 15:20 (총 14개 규칙)*
+*최종 차단: 2025-09-24 14:45 (총 18개 규칙)*

 ## 8. 차단 실행 결과

@ -233,4 +233,56 @@ sudo iptables -L INPUT -n -v | grep DROP
  - WordPress 설치 스캔 (22:46)
  - Symfony 프로파일러 접근 (17:17)
 - **공격 패턴 변화**: 다양한 프레임워크 대상 공격으로 확산
- **방어 상태**: 정상 작동 중 (모든 공격 차단됨)
+- **방어 상태**: 정상 작동 중 (모든 공격 차단됨)
+
+---
+
+## 9. SSH 브루트포스 공격 방어 (2025-09-24 추가)
+
+### 9.1 공격 탐지
+**2025-09-24 14:00-14:35 SSH 무작위 로그인 시도**
+
+| 공격 IP | 시도 계정 | 빈도 | 차단 시각 |
+|---------|-----------|------|----------|
+| 103.251.247.158 | wuyuanfeng, ypy, root | 다수 | 14:45 |
+| 112.216.129.27 | ar, wangyl, root, admin | 다수 | 14:45 |
+| 85.235.135.46 | vernon, jiazilong, zfb | 다수 | 14:45 |
+
+### 9.2 방어 조치
+1. **즉시 차단 (iptables)**
+   ```bash
+   sudo iptables -A INPUT -s 103.251.247.158 -j DROP
+   sudo iptables -A INPUT -s 112.216.129.27 -j DROP
+   sudo iptables -A INPUT -s 85.235.135.46 -j DROP
+   ```
+
+2. **fail2ban 구성**
+   - 설치: `sudo apt-get install fail2ban`
+   - 설정 파일: `/etc/fail2ban/jail.d/ssh-custom.conf`
+   ```
+   [sshd]
+   enabled = true
+   maxretry = 3
+   findtime = 600
+   bantime = 86400
+   ignoreip = 127.0.0.1/8 192.168.219.0/24
+
+   [sshd-aggressive]
+   enabled = true
+   maxretry = 2
+   findtime = 300
+   bantime = 604800
+   ```
+
+3. **영구 저장**
+   ```bash
+   sudo netfilter-persistent save
+   ```
+
+### 9.3 현재 상태
+- **총 차단 IP**: 18개 (HTTP 공격 14개 + SSH 공격 4개)
+- **fail2ban 상태**: 작동 중
+  - 일반 모드: 3회 실패 → 24시간 차단
+  - 공격 모드: 2회 실패 → 7일 차단
+- **내부 네트워크 제외**: 192.168.219.0/24
+- **보호 수준**: 높음 (자동 차단 활성화)