DOCS/troubleshooting/250826_security_attack_damage_assessment.md

보안 공격 피해 평가 보고서

작성일: 2025-08-26 21:00

작성자: 51123 서버 관리자

평가 결과: ✅ 침해 흔적 없음 (공격은 있었으나 실패)

영향 범위: 51123, 51124 서버

---

1. 종합 평가

🟢 공격 차단 성공

• 침해 여부: 없음
• 데이터 유출: 없음
• 시스템 변조: 없음
• 서비스 중단: 없음

공격 시도는 다수 있었으나 모두 차단되어 실제 피해는 발생하지 않음

---

2. 51123 서버 점검 결과

2.1 SSH 브루트포스 시도

공격자 IP	시도 계정	날짜	결과
139.59.105.101	root, test2, smj 등	8/22	모두 실패
118.235.13.62	hhyong	8/23	실패
192.168.219.1	admin	8/25	실패 (내부 테스트)
192.168.219.52	admin	8/25	실패 (내부 테스트)

2.2 웹 취약점 스캔

• PHPUnit eval-stdin.php: 404 응답 (파일 없음)
• .env 파일 접근: 404 응답 (파일 없음)
• TP-Link RCE 시도: 차단됨

2.3 시스템 무결성

검증 항목	상태	세부사항
백도어 파일	✅ 없음	PHP, shell 파일 없음
신규 사용자	✅ 정상	비정상 계정 없음
Cron 작업	✅ 정상	정상 백업/유지보수만
프로세스	✅ 정상	의심스러운 프로세스 없음
시스템 파일	✅ 정상	iptables 규칙만 수정

---

3. 51124 서버 점검 결과

3.1 접속 상태

• SSH 포트: 확인 불가 (비표준 포트 사용 중)
• 네트워크: 정상 (ping 응답)
• 서비스: rb8001 등 정상 운영 추정

3.2 간접 확인

• 51123에서 51124로의 정상 통신 확인
• Docker 컨테이너 모두 healthy 상태
• 리소스 사용률 정상

---

4. 데이터베이스 점검

4.1 PostgreSQL

• 외부 접속: 없음 (Docker 내부 IP만 접속)
• 접속 IP: 172.21.0.4, 172.21.0.5 (Docker 네트워크)
• 무단 쿼리: 없음

---

5. 리소스 상태

5.1 디스크 사용량

파티션	사용률	상태
/ (SSD)	27%	정상
/mnt/hdd	1%	정상

5.2 메모리 사용량

• 총 29GB 중 5GB 사용 (17%)
• 충분한 여유 공간

---

6. 공격 패턴 분석

6.1 공격 유형별 분류

1. 자동화 봇 스캔 (90%)

   • PHPUnit 취약점 스캔
   • .env 파일 탐색
   • 널리 알려진 취약점 시도

2. SSH 브루트포스 (8%)

   • 약한 비밀번호 추측
   • 기본 계정명 시도

3. IoT 장비 공격 (2%)

   • TP-Link 라우터 취약점

6.2 공격 실패 원인

• Python/FastAPI 환경 (PHP 취약점 영향 없음)
• Docker 컨테이너 격리
• 404 응답으로 자동 차단
• SSH 키 인증만 사용

---

7. 보안 권고사항

7.1 즉시 조치 (완료)

• ✅ 공격 IP 8개 차단
• ✅ iptables 규칙 영구 저장
• ✅ 로그 모니터링

7.2 추가 권고

1. fail2ban 설치

   • 자동 IP 차단 시스템 구축
   • 반복 공격자 영구 차단

2. SSH 포트 변경

   • 기본 22 포트 → 비표준 포트

3. CloudFlare/WAF 도입

   • DDoS 방어
   • 지능형 봇 차단

4. 정기 보안 감사

   • 월 1회 로그 분석
   • 분기별 취약점 점검

---

8. 결론

공격은 있었으나 피해는 없음

• 모든 공격 시도가 차단됨
• 시스템 무결성 유지됨
• 데이터 유출 없음
• 서비스 중단 없음

현재 보안 체계가 효과적으로 작동하고 있으나, fail2ban 등 자동화 방어 시스템 도입으로 더욱 강화 필요

---

평가 완료: 2025-08-26 21:00 다음 점검: 2025-09-01 예정