46cb3236d3
원인: Grok-4-fast agentic 분석기가 더미 IP(1.1.1.1, 1.2.3.4 시퀀스), Cloudflare 엣지 IP(172.70.x), 자체 Linode IDC 대역(45.79.x)을 path-enumeration으로 오탐 ban. 같은 기간 hub 시나리오는 진짜 스캐너 1건(India SoloRDP)을 정확히 잡음. 작업: - infra/platform/anomaly-detect.md → deprecated stub - history/2026-04-25-anomaly-detect-removal.md 신규 (폐기 사유, 재가동 조건 정리) - crowdsec-safeline.md acquisition 다이어그램에서 anomaly-detect 분기 제거 - infra/compute/infra-hosts.md hp2 default 5→4 갱신 - infra/platform/_index.md, history/_index.md 인덱스 갱신 - infra/security/vault.md apps 목록에서 항목 제거 (apps/anomaly-detect 경로는 비어있음, 유지) 보존: - Vault secret/ai/openrouter (다른 서비스 공용 가능성) - Gitea kaffa/anomaly-detect repo (재구축 reference)
30 lines
1.3 KiB
Markdown
30 lines
1.3 KiB
Markdown
---
|
|
title: anomaly-detect (폐기 2026-04-25)
|
|
updated: 2026-04-25
|
|
tags: [security, crowdsec, deprecated]
|
|
status: deprecated
|
|
---
|
|
|
|
> [!warning] 폐기됨 (2026-04-25)
|
|
> Grok-4-fast agentic 분석기가 더미 IP(1.1.1.1, 1.2.3.4 시퀀스), Cloudflare 엣지 IP(172.70.x), 자체 Linode IDC 대역(45.79.x)을 path-enumeration으로 오탐 ban하는 사례 다수 확인.
|
|
> 컨테이너 포함 완전 제거. 폐기 경과 및 재가동 조건: [[../../history/2026-04-25-anomaly-detect-removal|history]]
|
|
|
|
## 보존된 자산
|
|
|
|
| 항목 | 위치 | 비고 |
|
|
|---|---|---|
|
|
| 코드 | `gitea.inouter.com/kaffa/anomaly-detect` (private) | 재구축 reference |
|
|
| Vault | `secret/ai/openrouter` (OpenRouter API key) | 다른 서비스 공용 가능성 — 보존 |
|
|
| 설계 이력 | [[../../history/2026-04-08-anomaly-detect-iterations]] | 1차 stats → 2차 cohort → 3차 agentic 반복 |
|
|
|
|
## 제거된 자산
|
|
|
|
- incus-hp2 `anomaly-detect` 컨테이너 (10.100.2.164)
|
|
- systemd `anomaly-detect.timer` / `anomaly-detect.service`
|
|
- CrowdSec LAPI watcher 등록
|
|
- 활성 decision 2건 (`45.94.31.74`, `45.76.123.45`)
|
|
|
|
## CrowdSec 시나리오 잔재
|
|
|
|
`anomaly-detect/path-enumeration`, `anomaly-detect/brute-force` 시나리오 이름은 본인이 발급한 alert에만 등장. CrowdSec Hub 표준 시나리오가 아니라 LAPI 측에서 별도 정리 불필요.
|