Я использую свою Google Compute VM буквально 1 день, и я был взломан, по этому IP: http://www.infobyip.com/ip-121.8.187.25.html
Я пытаюсь понять, что я могу сделать дальше (пользователь, подключенный через ssh, пароль пользователя был изменен) , чтобы избежать этих типов атак (и понять больше, чем говорит /var/log/auth.log)?Google Compute VM взломали, что теперь?
Я предполагаю, что вы удалили экземпляр уже, верно? от консоли разработчиков.
Как и всегда, всегда используйте ключи ssh rsa для подключения к вашему экземпляру вместо паролей. Кроме того, в зависимости от того, где вы хотите получить доступ, вы можете разрешать только определенные IP-адреса через брандмауэр. Настройка брандмауэра вместе с iptables обеспечивает лучшую безопасность.
Вы также можете посмотреть sshguard. Sshguard автоматически добавляет правила iptables, когда обнаруживает ряд неудачных попыток подключения.
Чтобы убедиться, пожалуйста, измените порт по умолчанию 22 в /etc/ssh/sshd_config на что-то еще.
Любой компьютер с sshd, работающий на внешнем доступном сетевом интерфейсе, окажется под атакой. По умолчанию GCE разрешает доступ к ssh только через ключи (в отличие от паролей). Включили ли вы пароль? Если да, то насколько сильным был ваш пароль? – rephorm
Я тоже был взломан, и тревожная часть заключается в том, что я не разрешал внешний доступ ssh через пароль. Я понимаю, что можно найти векторы атаки за пределами обычного ssh/http, просто я не думал, что это будет так скоро после создания виртуальной машины. – thekingoftruth
Я обнаружил, что весь диапазон IP находится под постоянной атакой, у моих журналов были попытки входа в систему за 5 минут после создания экземпляра – Asaf