Блог

Главная - Вопросы по программированию - Проект облачной платформы Google приостанавливается

Проект облачной платформы Google приостанавливается

#security #google-compute-engine #google-cloud-platform #denial-of-service

#Безопасность #google-compute-engine #google-облачная платформа #отказ в обслуживании

Вопрос:

Я получил электронное письмо от Google, в котором сообщается, что они приостановили мой проект из-за атак типа»отказ в обслуживании»

Уважаемый разработчик, недавно мы обнаружили, что ваш Google Cloud Project My Project (id: xxx-yyy-zzz) совершает атаки типа «отказ в обслуживании» и нарушает наши условия предоставления услуг. Поэтому ваш проект Мой проект (идентификатор: xxx-yyy-zzz) приостанавливается

Сразу после отправки этого электронного письма Google отключил все экземпляры вычислительных машин, связанные с проектом, и мне пришлось подать апелляцию, чтобы получить доступ. Google попросил меня провести расследование, и, похоже, действительно была предпринята неудачная попытка взлома, однако я не уверен, что еще нужно проверить. Вот что я проверил :

Журналы Apache

Похоже, что есть подозрительная активность с большим количеством записей, таких как :

 GET /muieblackcat HTTP/1.1 404 470 
GET //pma/scripts/setup.php HTTP/1.1 404 479 
GET //mysql/scripts/setup.php HTTP/1.1 404 481
GET //mysqladmin/scripts/setup.php HTTP/1.1 404 486
GET //MyAdmin/scripts/setup.php HTTP/1.1 404
GET //myadmin/scripts/setup.php HTTP/1.1 404
GET //phpMyAdmin/scripts/setup.php HTTP/1.1 404 486
GET //phpmyadmin/scripts/setup.php HTTP/1.1 404 486

Мониторинг активности в облачной консоли Google

Я вижу всплеск активности исходящих пакетов, что объясняет, почему Google вызвал тревогу

Google Cloud отключает активность

Журналы авторизации SSH

Вижу много записей недопустимого пользователя, пытающегося войти в инстанс :

 Oct  8 18:07:41 instance-1 sshd[32486]: Invalid user aPlcmSpIp from 88.168.134.63
Oct  8 18:07:47 instance-1 sshd[32488]: Invalid user admin from 88.168.134.63
Oct  8 18:07:55 instance-1 sshd[32490]: Invalid user ubnt from 88.168.134.63
Oct  8 18:08:02 instance-1 sshd[32492]: Invalid user fax from 88.168.134.63
Oct  8 18:08:08 instance-1 sshd[32494]: Invalid user user1 from 88.168.134.63
Oct  8 18:08:23 instance-1 sshd[32498]: Invalid user admin from 88.168.134.63
Oct  8 18:08:33 instance-1 sshd[32500]: Invalid user test from 88.168.134.63
Oct  8 18:08:41 instance-1 sshd[32503]: Invalid user admin from 88.168.134.63
Oct  8 18:08:51 instance-1 sshd[32505]: Invalid user user1 from 88.168.134.63
Oct  8 18:08:55 instance-1 sshd[32507]: Invalid user support from 88.168.134.63
Oct  8 18:09:02 instance-1 sshd[32509]: Invalid user ftp from 88.168.134.63
Oct  8 18:09:14 instance-1 sshd[32513]: Invalid user user from 88.168.134.63
Oct  8 18:09:20 instance-1 sshd[32515]: Invalid user demo from 88.168.134.63
Oct  8 18:09:30 instance-1 sshd[32517]: Invalid user user from 88.168.134.63

Наблюдение за большим количеством попыток во время атаки

Охотник за руткитами

Я установил rkhunter и выполнил проверку, никаких специальных предупреждений там не было

Так что определенно мой экземпляр был целью атаки, которая каким-то образом вызвала чрезмерный исходящий трафик. Что еще я могу сделать, чтобы выяснить причину приостановки моего проекта и защитить его от повторения в будущем?

Ответ №1:

Вы должны запустить антивирусную проверку на своих виртуальных машинах. Вы можете попробовать Clamav. Вы также можете запустить Linux Malware Detect.