Экземпляр виртуальной машины GCP скомпрометирован.Как обезопасить это?

Question

Итак, вчера вечером я получил письмо от google-cloud-compatibility, что у одного из экземпляров виртуальной машины есть некоторые критические проблемы, и он будет приостановлен через 72 часа, если шаблон будет продолжен и апелляция не будет подана.Ниже приведено письмо, которое я получил.

Недавно мы обнаружили, что ваш облачный проект Google предпринимает попытки вторжения в адрес третьей стороны и, по-видимому, нарушает наши Условия обслуживания.В частности, мы обнаружили сканирование портов на удаленном порту 22, происходящем из вашего проекта Compute Engine, предназначенного для более чем 4451 IP-адресов в период между 2019-04-02 09:31 и 2019-04-02 09:55 (по тихоокеанскому времени).Пожалуйста, проверьте трафик, исходящий из всех ваших экземпляров, и исправьте все другие экземпляры, на которые это может повлиять.

Чтобы получить доступ к виртуальной машине через ssh, вы должны добавить свой открытый ключ в сам экземпляр и Aминимальный проект Django развернут в экземпляре, поэтому я не думаю, что это произошло из-за обеих этих вещей.Поэтому мой вопрос в том, что вызвало это и как я могу защитить свой экземпляр виртуальной машины.

Answer 1

Я настоятельно рекомендую вам удалить экземпляр вашей виртуальной машины, поскольку вы не можете быть полностью уверены в том, до какой степени он был скомпрометирован.

После того, как все будет воссоздано заново, вы можете предпринять некоторые меры, чтобы попытатьсяпредотвратить это сноваКак указано в комментариях, я буду использовать надежные пароли и буду следить за тем, чтобы все используемое программное обеспечение было должным образом обновлено и исправлено, особенно Django.

Кроме того, я бы ознакомился с правилами брандмауэра,используя наименьшую привилегию.Например, вы можете убедиться, что только порты, которые вы используете для доступа к своему экземпляру, разрешены в порту 22.

Наконец, я бы посоветовал вам взглянуть на this .Это новая бета-функция, которая позволяет обнаруживать «DDoS-атаки, исходящие из вашей организации».Кроме того, вы можете проверить это лучшие практики для усиления доступа SSH.Среди них особенно примечателен https://www.sshguard.net/, который может распознать такие шаблоны, как несколько сбоев входа в систему в течение нескольких секунд, а затем заблокировать нарушающий IP-адрес.