Я получил письмо от Google, заявив, что они приостановили свой проект из-за атак отказа в обслуживаниипроект Google Cloud Platform в настоящее время приостановлено
Уважаемый разработчик, мы недавно обнаружили, что ваш Проект Google Cloud Мой проект (id: xxx-yyy-zzz) отрицает атак службы и нарушает наши Условия предоставления услуг. Ваш проект Моего Project (ID: хая-ууу-ZZZ), таким образом, приостанавливаются
Незамедлительно после того, как это письмо было отправлено, Google закрыл все машины Compute экземпляры Engine, связанную с проектом, и мне пришлось обратиться чтобы получить доступ. Google просил меня исследовать, и действительно кажется, что была предпринята неудачная попытка взлома, однако я не уверен, что еще проверить. Вот что я проверил:
Apache журналы
Похож есть подозрительные действия с большим количеством записей, такие как:
GET /muieblackcat HTTP/1.1 404 470
GET //pma/scripts/setup.php HTTP/1.1 404 479
GET //mysql/scripts/setup.php HTTP/1.1 404 481
GET //mysqladmin/scripts/setup.php HTTP/1.1 404 486
GET //MyAdmin/scripts/setup.php HTTP/1.1 404
GET //myadmin/scripts/setup.php HTTP/1.1 404
GET //phpMyAdmin/scripts/setup.php HTTP/1.1 404 486
GET //phpmyadmin/scripts/setup.php HTTP/1.1 404 486
мониторинг активности в облаке консоли Google
Я вижу всплеск исходящей активности пакета, что объясняет, почему Google вызвал сигнал тревоги
SSH Auth журналы
Видя много записей недействительных пользователь пытается войти в экземпляр:
Oct 8 18:07:41 instance-1 sshd[32486]: Invalid user aPlcmSpIp from 88.168.134.63
Oct 8 18:07:47 instance-1 sshd[32488]: Invalid user admin from 88.168.134.63
Oct 8 18:07:55 instance-1 sshd[32490]: Invalid user ubnt from 88.168.134.63
Oct 8 18:08:02 instance-1 sshd[32492]: Invalid user fax from 88.168.134.63
Oct 8 18:08:08 instance-1 sshd[32494]: Invalid user user1 from 88.168.134.63
Oct 8 18:08:23 instance-1 sshd[32498]: Invalid user admin from 88.168.134.63
Oct 8 18:08:33 instance-1 sshd[32500]: Invalid user test from 88.168.134.63
Oct 8 18:08:41 instance-1 sshd[32503]: Invalid user admin from 88.168.134.63
Oct 8 18:08:51 instance-1 sshd[32505]: Invalid user user1 from 88.168.134.63
Oct 8 18:08:55 instance-1 sshd[32507]: Invalid user support from 88.168.134.63
Oct 8 18:09:02 instance-1 sshd[32509]: Invalid user ftp from 88.168.134.63
Oct 8 18:09:14 instance-1 sshd[32513]: Invalid user user from 88.168.134.63
Oct 8 18:09:20 instance-1 sshd[32515]: Invalid user demo from 88.168.134.63
Oct 8 18:09:30 instance-1 sshd[32517]: Invalid user user from 88.168.134.63
Проводы большое количество попыток во время проведения нападение
Охотник за руткитами
Я установил RkHunter и побежал проверку, никаких особых предупреждений не было введено там
Так определенно мой экземпляр был мишенью для атаки, которая каким-то образом вызвал чрезмерный исходящий трафик. Что еще я могу сделать, чтобы исследовать причину приостановления моего проекта и защитить это от происходящего в будущем?