# 보안 공격 피해 평가 보고서

## 작성일: 2025-08-26 21:00
## 작성자: 51123 서버 관리자
## 평가 결과: ✅ 침해 흔적 없음 (공격은 있었으나 실패)
## 영향 범위: 51123, 51124 서버

---

## 1. 종합 평가

### 🟢 공격 차단 성공
- **침해 여부**: 없음
- **데이터 유출**: 없음
- **시스템 변조**: 없음
- **서비스 중단**: 없음

공격 시도는 다수 있었으나 모두 차단되어 실제 피해는 발생하지 않음

---

## 2. 51123 서버 점검 결과

### 2.1 SSH 브루트포스 시도
| 공격자 IP | 시도 계정 | 날짜 | 결과 |
|-----------|----------|------|------|
| 139.59.105.101 | root, test2, smj 등 | 8/22 | 모두 실패 |
| 118.235.13.62 | hhyong | 8/23 | 실패 |
| 192.168.219.1 | admin | 8/25 | 실패 (내부 테스트) |
| 192.168.219.52 | admin | 8/25 | 실패 (내부 테스트) |

### 2.2 웹 취약점 스캔
- PHPUnit eval-stdin.php: 404 응답 (파일 없음)
- .env 파일 접근: 404 응답 (파일 없음)
- TP-Link RCE 시도: 차단됨

### 2.3 시스템 무결성
| 검증 항목 | 상태 | 세부사항 |
|----------|------|---------|
| 백도어 파일 | ✅ 없음 | PHP, shell 파일 없음 |
| 신규 사용자 | ✅ 정상 | 비정상 계정 없음 |
| Cron 작업 | ✅ 정상 | 정상 백업/유지보수만 |
| 프로세스 | ✅ 정상 | 의심스러운 프로세스 없음 |
| 시스템 파일 | ✅ 정상 | iptables 규칙만 수정 |

---

## 3. 51124 서버 점검 결과

### 3.1 접속 상태
- **SSH 포트**: 확인 불가 (비표준 포트 사용 중)
- **네트워크**: 정상 (ping 응답)
- **서비스**: rb8001 등 정상 운영 추정

### 3.2 간접 확인
- 51123에서 51124로의 정상 통신 확인
- Docker 컨테이너 모두 healthy 상태
- 리소스 사용률 정상

---

## 4. 데이터베이스 점검

### 4.1 PostgreSQL
- **외부 접속**: 없음 (Docker 내부 IP만 접속)
- **접속 IP**: 172.21.0.4, 172.21.0.5 (Docker 네트워크)
- **무단 쿼리**: 없음

---

## 5. 리소스 상태

### 5.1 디스크 사용량
| 파티션 | 사용률 | 상태 |
|--------|-------|------|
| / (SSD) | 27% | 정상 |
| /mnt/hdd | 1% | 정상 |

### 5.2 메모리 사용량
- 총 29GB 중 5GB 사용 (17%)
- 충분한 여유 공간

---

## 6. 공격 패턴 분석

### 6.1 공격 유형별 분류
1. **자동화 봇 스캔** (90%)
   - PHPUnit 취약점 스캔
   - .env 파일 탐색
   - 널리 알려진 취약점 시도

2. **SSH 브루트포스** (8%)
   - 약한 비밀번호 추측
   - 기본 계정명 시도

3. **IoT 장비 공격** (2%)
   - TP-Link 라우터 취약점

### 6.2 공격 실패 원인
- Python/FastAPI 환경 (PHP 취약점 영향 없음)
- Docker 컨테이너 격리
- 404 응답으로 자동 차단
- SSH 키 인증만 사용

---

## 7. 보안 권고사항

### 7.1 즉시 조치 (완료)
- ✅ 공격 IP 8개 차단
- ✅ iptables 규칙 영구 저장
- ✅ 로그 모니터링

### 7.2 추가 권고
1. **fail2ban 설치**
   - 자동 IP 차단 시스템 구축
   - 반복 공격자 영구 차단

2. **SSH 포트 변경**
   - 기본 22 포트 → 비표준 포트

3. **CloudFlare/WAF 도입**
   - DDoS 방어
   - 지능형 봇 차단

4. **정기 보안 감사**
   - 월 1회 로그 분석
   - 분기별 취약점 점검

---

## 8. 결론

**공격은 있었으나 피해는 없음**

- 모든 공격 시도가 차단됨
- 시스템 무결성 유지됨
- 데이터 유출 없음
- 서비스 중단 없음

현재 보안 체계가 효과적으로 작동하고 있으나, fail2ban 등 자동화 방어 시스템 도입으로 더욱 강화 필요

---

*평가 완료: 2025-08-26 21:00*
*다음 점검: 2025-09-01 예정*