🔐 GEOS 系統資安風險通報

檢查日期: 2025-09-05 | 檢查範圍: AWS EC2 主機資安(主機暴露風險)

🚨 當前嚴重問題

目前 AWS 主機存在以下高風險狀況:

PostgreSQL 資料庫暴露

Port 5432 暴露於網際網路

  • 任何人可嘗試直接連線資料庫
  • 憑證可能被暴力破解或外洩
  • 一旦成功就能存取所有資料
管理員後台暴露

Port 3000, 3003 暴露於網際網路

  • 任何人可直接開啟後台登入頁面
  • 成為暴力破解攻擊目標
  • 長期公開在公網環境
SSH 對全球開放

Port 22 對全球開放

  • 每天遭遇數百次連線嘗試
  • OpenSSH 漏洞風險
  • 可能繞過金鑰驗證入侵
🔎 攻擊嘗試的系統記錄
ELB 報表分析

2025 年 1–8 月間,ELB 統計顯示幾乎每週都有攻擊流量,單週高峰超過 10,000 次惡意請求,代表服務長期暴露於攻擊環境。

SSH 驗證紀錄

以下為 2025 年 8 月份每日 SSH 登入嘗試次數(最高單日 585 次):

1710
user 帳號

最常被嘗試的帳號

1435
admin 帳號

第二常被攻擊目標

1189
debian 帳號

系統預設帳號攻擊

嘗試來源分布於中國、俄羅斯、美國、新加坡、香港及台灣等地。學生與老師帳號若被攻擊者得知,可能遭遇 憑證填充 (Credential Stuffing),進一步危及系統安全。

🔎 補充說明:來源 IP 紀錄的改善與限制

過去 ELB 未傳遞來源 IP,伺服器無法追蹤真實使用者來源。近期已修正,可透過 X-Forwarded-For 記錄來源 IP,這是資安上的進步。

技術改善流程與限制
攻擊發生

駭客嘗試入侵系統

IP 記錄

系統記錄攻擊來源

事後分析

分析攻擊模式與來源

損害已造成

無法預防入侵發生

📉 真實案例對照
iRent 資料庫外洩事件(2023)

資料庫長達 9 個月未設密碼、未限制外部連線,導致約 40 萬名用戶個資外洩。與 GEOS PostgreSQL 對外開放的風險型態相同。

There was an error generating this image

OpenSSH regreSSHion 漏洞(2024)

CVE-2024-6387 允許駭客遠端未經驗證即取得 root 權限,全球超過 1,400 萬台主機受影響,TWCERT 已發出通報要求更新。

ASUS SSH 後門事件(2025)

駭客利用漏洞入侵超過 9,000 台 ASUS 路由器,建立 SSH 後門並形成殭屍網路,顯示台灣環境也曾因 SSH 漏洞遭受大規模攻擊。

這些真實案例顯示,暴露的服務已在全球範圍內造成實際損害,屬於嚴重威脅。

📊 業務影響風險

若維持現狀,可能發生:

個資外洩

學員與客戶個資(姓名、電話、課程、付款紀錄)被盜

後台入侵

後台帳號遭入侵,課程與合約資料被竄改或刪除

惡意程式植入

資料庫遭植入惡意程式,服務中斷或遭勒索

法律責任

違反《個資法》,面臨罰鍰與法律責任,並重創商譽

財務損失評估
100%
服務中斷

完全停機風險

80%
客戶流失

信任度嚴重受損

⚠️ 結論與建議

目前主機已持續遭受攻擊,暴露的後台、資料庫與 SSH 服務讓系統處於極高風險。

立即行動

停止在現有 AWS 主機上維運

根本解決

更換至全新安全環境重新部署

安全優先

建立完整的資安防護機制