happybell80
e88a57286e
- 250826_security_attack_detection.md: 새로운 공격 IP(221.159.119.8) 차단 추가 - 250826_security_attack_damage_assessment.md: 전체 시스템 피해 평가 (피해 없음 확인)
147 lines
3.6 KiB
Markdown
147 lines
3.6 KiB
Markdown
# 보안 공격 피해 평가 보고서
|
|
|
|
## 작성일: 2025-08-26 21:00
|
|
## 작성자: 51123 서버 관리자
|
|
## 평가 결과: ✅ 침해 흔적 없음 (공격은 있었으나 실패)
|
|
## 영향 범위: 51123, 51124 서버
|
|
|
|
---
|
|
|
|
## 1. 종합 평가
|
|
|
|
### 🟢 공격 차단 성공
|
|
- **침해 여부**: 없음
|
|
- **데이터 유출**: 없음
|
|
- **시스템 변조**: 없음
|
|
- **서비스 중단**: 없음
|
|
|
|
공격 시도는 다수 있었으나 모두 차단되어 실제 피해는 발생하지 않음
|
|
|
|
---
|
|
|
|
## 2. 51123 서버 점검 결과
|
|
|
|
### 2.1 SSH 브루트포스 시도
|
|
| 공격자 IP | 시도 계정 | 날짜 | 결과 |
|
|
|-----------|----------|------|------|
|
|
| 139.59.105.101 | root, test2, smj 등 | 8/22 | 모두 실패 |
|
|
| 118.235.13.62 | hhyong | 8/23 | 실패 |
|
|
| 192.168.219.1 | admin | 8/25 | 실패 (내부 테스트) |
|
|
| 192.168.219.52 | admin | 8/25 | 실패 (내부 테스트) |
|
|
|
|
### 2.2 웹 취약점 스캔
|
|
- PHPUnit eval-stdin.php: 404 응답 (파일 없음)
|
|
- .env 파일 접근: 404 응답 (파일 없음)
|
|
- TP-Link RCE 시도: 차단됨
|
|
|
|
### 2.3 시스템 무결성
|
|
| 검증 항목 | 상태 | 세부사항 |
|
|
|----------|------|---------|
|
|
| 백도어 파일 | ✅ 없음 | PHP, shell 파일 없음 |
|
|
| 신규 사용자 | ✅ 정상 | 비정상 계정 없음 |
|
|
| Cron 작업 | ✅ 정상 | 정상 백업/유지보수만 |
|
|
| 프로세스 | ✅ 정상 | 의심스러운 프로세스 없음 |
|
|
| 시스템 파일 | ✅ 정상 | iptables 규칙만 수정 |
|
|
|
|
---
|
|
|
|
## 3. 51124 서버 점검 결과
|
|
|
|
### 3.1 접속 상태
|
|
- **SSH 포트**: 확인 불가 (비표준 포트 사용 중)
|
|
- **네트워크**: 정상 (ping 응답)
|
|
- **서비스**: rb8001 등 정상 운영 추정
|
|
|
|
### 3.2 간접 확인
|
|
- 51123에서 51124로의 정상 통신 확인
|
|
- Docker 컨테이너 모두 healthy 상태
|
|
- 리소스 사용률 정상
|
|
|
|
---
|
|
|
|
## 4. 데이터베이스 점검
|
|
|
|
### 4.1 PostgreSQL
|
|
- **외부 접속**: 없음 (Docker 내부 IP만 접속)
|
|
- **접속 IP**: 172.21.0.4, 172.21.0.5 (Docker 네트워크)
|
|
- **무단 쿼리**: 없음
|
|
|
|
---
|
|
|
|
## 5. 리소스 상태
|
|
|
|
### 5.1 디스크 사용량
|
|
| 파티션 | 사용률 | 상태 |
|
|
|--------|-------|------|
|
|
| / (SSD) | 27% | 정상 |
|
|
| /mnt/hdd | 1% | 정상 |
|
|
|
|
### 5.2 메모리 사용량
|
|
- 총 29GB 중 5GB 사용 (17%)
|
|
- 충분한 여유 공간
|
|
|
|
---
|
|
|
|
## 6. 공격 패턴 분석
|
|
|
|
### 6.1 공격 유형별 분류
|
|
1. **자동화 봇 스캔** (90%)
|
|
- PHPUnit 취약점 스캔
|
|
- .env 파일 탐색
|
|
- 널리 알려진 취약점 시도
|
|
|
|
2. **SSH 브루트포스** (8%)
|
|
- 약한 비밀번호 추측
|
|
- 기본 계정명 시도
|
|
|
|
3. **IoT 장비 공격** (2%)
|
|
- TP-Link 라우터 취약점
|
|
|
|
### 6.2 공격 실패 원인
|
|
- Python/FastAPI 환경 (PHP 취약점 영향 없음)
|
|
- Docker 컨테이너 격리
|
|
- 404 응답으로 자동 차단
|
|
- SSH 키 인증만 사용
|
|
|
|
---
|
|
|
|
## 7. 보안 권고사항
|
|
|
|
### 7.1 즉시 조치 (완료)
|
|
- ✅ 공격 IP 8개 차단
|
|
- ✅ iptables 규칙 영구 저장
|
|
- ✅ 로그 모니터링
|
|
|
|
### 7.2 추가 권고
|
|
1. **fail2ban 설치**
|
|
- 자동 IP 차단 시스템 구축
|
|
- 반복 공격자 영구 차단
|
|
|
|
2. **SSH 포트 변경**
|
|
- 기본 22 포트 → 비표준 포트
|
|
|
|
3. **CloudFlare/WAF 도입**
|
|
- DDoS 방어
|
|
- 지능형 봇 차단
|
|
|
|
4. **정기 보안 감사**
|
|
- 월 1회 로그 분석
|
|
- 분기별 취약점 점검
|
|
|
|
---
|
|
|
|
## 8. 결론
|
|
|
|
**공격은 있었으나 피해는 없음**
|
|
|
|
- 모든 공격 시도가 차단됨
|
|
- 시스템 무결성 유지됨
|
|
- 데이터 유출 없음
|
|
- 서비스 중단 없음
|
|
|
|
현재 보안 체계가 효과적으로 작동하고 있으나, fail2ban 등 자동화 방어 시스템 도입으로 더욱 강화 필요
|
|
|
|
---
|
|
|
|
*평가 완료: 2025-08-26 21:00*
|
|
*다음 점검: 2025-09-01 예정* |