谷歌云平台项目暂停

【问题标题】:Google Cloud Platform project is being suspended谷歌云平台项目暂停
【发布时间】:2016-10-12 08:47:20
【问题描述】:

我收到了来自 Google 的电子邮件,宣布他们因拒绝服务攻击而暂停了我的项目

尊敬的开发者,我们最近检测到您的 Google Cloud Project My Project (id: xxx-yyy-zzz) 一直在拒绝 服务攻击并违反我们的服务条款。你的项目 我的 项目(id:xxx-yyy-zzz)因此被暂停

在发送此电子邮件后,Google 立即关闭了与该项目关联的所有计算机 Compute Engine 实例,我不得不提出上诉才能获得访问权限。谷歌要求我进行调查,似乎确实进行了一次不成功的破坏尝试,但我不确定还有什么要检查的。这是我检查过的内容:

Apache 日志

似乎有很多条目的可疑活动,例如:

GET /muieblackcat HTTP/1.1 404 470 
GET //pma/scripts/setup.php HTTP/1.1 404 479 
GET //mysql/scripts/setup.php HTTP/1.1 404 481
GET //mysqladmin/scripts/setup.php HTTP/1.1 404 486
GET //MyAdmin/scripts/setup.php HTTP/1.1 404
GET //myadmin/scripts/setup.php HTTP/1.1 404
GET //phpMyAdmin/scripts/setup.php HTTP/1.1 404 486
GET //phpmyadmin/scripts/setup.php HTTP/1.1 404 486

Google 云控制台中的活动监控

我确实看到传出数据包活动激增,这解释了 Google 触发警报的原因

SSH 身份验证日志

看到大量无效用户尝试登录实例:

Oct  8 18:07:41 instance-1 sshd[32486]: Invalid user aPlcmSpIp from 88.168.134.63
Oct  8 18:07:47 instance-1 sshd[32488]: Invalid user admin from 88.168.134.63
Oct  8 18:07:55 instance-1 sshd[32490]: Invalid user ubnt from 88.168.134.63
Oct  8 18:08:02 instance-1 sshd[32492]: Invalid user fax from 88.168.134.63
Oct  8 18:08:08 instance-1 sshd[32494]: Invalid user user1 from 88.168.134.63
Oct  8 18:08:23 instance-1 sshd[32498]: Invalid user admin from 88.168.134.63
Oct  8 18:08:33 instance-1 sshd[32500]: Invalid user test from 88.168.134.63
Oct  8 18:08:41 instance-1 sshd[32503]: Invalid user admin from 88.168.134.63
Oct  8 18:08:51 instance-1 sshd[32505]: Invalid user user1 from 88.168.134.63
Oct  8 18:08:55 instance-1 sshd[32507]: Invalid user support from 88.168.134.63
Oct  8 18:09:02 instance-1 sshd[32509]: Invalid user ftp from 88.168.134.63
Oct  8 18:09:14 instance-1 sshd[32513]: Invalid user user from 88.168.134.63
Oct  8 18:09:20 instance-1 sshd[32515]: Invalid user demo from 88.168.134.63
Oct  8 18:09:30 instance-1 sshd[32517]: Invalid user user from 88.168.134.63

在攻击期间看到大量尝试

Rootkit 猎人

我安装了 rkhunter 并运行了检查,那里没有引入任何特殊警告

因此,我的实例肯定是攻击的目标,该攻击以某种方式触发了过多的传出流量。我还可以做些什么来调查暂停我的项目的原因,并防止这种情况在未来发生?

【问题讨论】:

    标签: security google-compute-engine google-cloud-platform denial-of-service


    【解决方案1】:

    您应该在您的虚拟机上运行防病毒扫描。你可以试试 Clamav。您还可以运行 Linux Malware Detect。

    【讨论】:

      猜你喜欢
      • 2021-06-15
      • 2019-10-31
      • 2016-08-23
      • 1970-01-01
      • 2019-08-16
      • 2020-01-11
      • 1970-01-01
      • 2020-06-02
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode