From aed3b24f2513dd2c9157da24ba5d48a11f7c7cad Mon Sep 17 00:00:00 2001 From: happybell80 Date: Wed, 24 Sep 2025 14:43:56 +0900 Subject: [PATCH] =?UTF-8?q?=EB=B3=B4=EC=95=88=20=EB=AC=B8=EC=84=9C=20?= =?UTF-8?q?=EC=97=85=EB=8D=B0=EC=9D=B4=ED=8A=B8:=20SSH=20=EB=B8=8C?= =?UTF-8?q?=EB=A3=A8=ED=8A=B8=ED=8F=AC=EC=8A=A4=20=EA=B3=B5=EA=B2=A9=20?= =?UTF-8?q?=EB=B0=A9=EC=96=B4=20=EC=B6=94=EA=B0=80?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit - SSH 무작위 공격 IP 3개 차단 (103.251.247.158, 112.216.129.27, 85.235.135.46) - fail2ban 설치 및 SSH 방어 설정 추가 - 총 차단 IP 18개로 증가 (HTTP 14개 + SSH 4개) - 자동 차단 시스템 구축 완료 🤖 Generated with [Claude Code](https://claude.ai/code) Co-Authored-By: Claude --- .../250826_security_attack_detection.md | 58 ++++++++++++++++++- 1 file changed, 55 insertions(+), 3 deletions(-) diff --git a/troubleshooting/250826_security_attack_detection.md b/troubleshooting/250826_security_attack_detection.md index 68d74d1..e2cb31e 100644 --- a/troubleshooting/250826_security_attack_detection.md +++ b/troubleshooting/250826_security_attack_detection.md @@ -4,7 +4,7 @@ ## 작성자: 서버 관리자 ## 상태: ✅ 차단 완료 (8/26 초기, 9/10 추가) ## 영향: 51123 서버 대상 자동화 공격 -## 최종 업데이트: 2025-09-10 15:20 +## 최종 업데이트: 2025-09-24 14:45 --- @@ -203,7 +203,7 @@ sudo tcpdump -i any src host 185.177.72.10 --- -*최종 차단: 2025-09-10 15:20 (총 14개 규칙)* +*최종 차단: 2025-09-24 14:45 (총 18개 규칙)* ## 8. 차단 실행 결과 @@ -233,4 +233,56 @@ sudo iptables -L INPUT -n -v | grep DROP - WordPress 설치 스캔 (22:46) - Symfony 프로파일러 접근 (17:17) - **공격 패턴 변화**: 다양한 프레임워크 대상 공격으로 확산 -- **방어 상태**: 정상 작동 중 (모든 공격 차단됨) \ No newline at end of file +- **방어 상태**: 정상 작동 중 (모든 공격 차단됨) + +--- + +## 9. SSH 브루트포스 공격 방어 (2025-09-24 추가) + +### 9.1 공격 탐지 +**2025-09-24 14:00-14:35 SSH 무작위 로그인 시도** + +| 공격 IP | 시도 계정 | 빈도 | 차단 시각 | +|---------|-----------|------|----------| +| 103.251.247.158 | wuyuanfeng, ypy, root | 다수 | 14:45 | +| 112.216.129.27 | ar, wangyl, root, admin | 다수 | 14:45 | +| 85.235.135.46 | vernon, jiazilong, zfb | 다수 | 14:45 | + +### 9.2 방어 조치 +1. **즉시 차단 (iptables)** + ```bash + sudo iptables -A INPUT -s 103.251.247.158 -j DROP + sudo iptables -A INPUT -s 112.216.129.27 -j DROP + sudo iptables -A INPUT -s 85.235.135.46 -j DROP + ``` + +2. **fail2ban 구성** + - 설치: `sudo apt-get install fail2ban` + - 설정 파일: `/etc/fail2ban/jail.d/ssh-custom.conf` + ``` + [sshd] + enabled = true + maxretry = 3 + findtime = 600 + bantime = 86400 + ignoreip = 127.0.0.1/8 192.168.219.0/24 + + [sshd-aggressive] + enabled = true + maxretry = 2 + findtime = 300 + bantime = 604800 + ``` + +3. **영구 저장** + ```bash + sudo netfilter-persistent save + ``` + +### 9.3 현재 상태 +- **총 차단 IP**: 18개 (HTTP 공격 14개 + SSH 공격 4개) +- **fail2ban 상태**: 작동 중 + - 일반 모드: 3회 실패 → 24시간 차단 + - 공격 모드: 2회 실패 → 7일 차단 +- **내부 네트워크 제외**: 192.168.219.0/24 +- **보호 수준**: 높음 (자동 차단 활성화) \ No newline at end of file