GCP VM实例遭到入侵。如何保护它?

时间:2019-04-03 09:56:12

标签: networking google-cloud-platform

因此,昨晚我收到来自google-cloud-compliance的邮件,其中一个VM实例存在一些严重问题,如果继续执行该模式并且未提出上诉,它将在72小时后暂停。以下是我收到的邮件。

  

我们最近检测到您的Google Cloud Project已被   对第三方执行入侵尝试,似乎是   违反我们的服务条款。具体来说,我们检测到端口   在源自Compute Engine的远程端口22上进行扫描   项目在2019-04-02 09:31之间定位到超过4451个IP地址   和2019-04-02 09:55(太平洋时间)。请检查路况   源于您所有实例并修复任何其他实例   可能会受到此影响。

要通过ssh访问VM,您必须在实例本身中添加公钥,并且在实例中部署了一个最小的Django项目,因此我认为这不是由于这两个原因造成的。所以我的问题是造成它的原因以及如何保护我的VM实例。

1 个答案:

答案 0 :(得分:0)

我强烈建议您删除您的VM实例,因为您无法完全确定VM实例是否受到损害。

一旦重新创建了所有内容,您可以采取一些措施来防止这种情况再次发生。如评论中所述,我将使用强密码,并确保您使用的所有软件均已正确更新和修补,尤其是Django。

此外,我将使用最小特权的最佳实践来了解防火墙规则。例如,您可以确保端口22仅允许您用于访问实例的IP。

最后,我建议您看看this。它是一项新的Beta功能,可让您检测“源自组织内部的DDoS攻击”。此外,您可以检查this best practices以加强SSH访问。其中https://www.sshguard.net/特别引人注目,它能够在几秒钟内识别出几种登录失败等模式,然后阻止有问题的IP。