J'ai reçu un courriel de Google déclarant qu'ils ont suspendu mon projet en raison de des attaques par déni de serviceprojet Google Cloud Platform est suspendu
Cher développeur, Nous avons récemment détecté que votre projet Google Cloud Mon projet (id: xxx-yyy-zzz) a refusé de répondre aux attaques de service et enfreint nos conditions d'utilisation. Votre projet Mon projet (id: xxx-yyy-zzz) est donc d'être suspendu
Promptement après cet e-mail a été envoyé, Google a fermé toutes les machines instances Compute Engine associés au projet et je devais faire appel afin de recevoir l'accès. Google a demandé que j'étudie et il semble en effet qu'une tentative infructueuse de rupture a été faite, mais je ne suis pas sûr quoi d'autre à vérifier. Voici ce que j'ai vérifié:
logs Apache
On dirait qu'il ya des activités suspectes avec beaucoup d'entrées telles que:
GET /muieblackcat HTTP/1.1 404 470
GET //pma/scripts/setup.php HTTP/1.1 404 479
GET //mysql/scripts/setup.php HTTP/1.1 404 481
GET //mysqladmin/scripts/setup.php HTTP/1.1 404 486
GET //MyAdmin/scripts/setup.php HTTP/1.1 404
GET //myadmin/scripts/setup.php HTTP/1.1 404
GET //phpMyAdmin/scripts/setup.php HTTP/1.1 404 486
GET //phpmyadmin/scripts/setup.php HTTP/1.1 404 486
surveillance de l'activité dans la console nuage Google
Je vois un pic dans l'activité des paquets sortants, ce qui explique pourquoi Google a déclenché l'alarme
journaux SSH auth
En voyant un grand nombre d'entrées d'utilisateur non valide en essayant de se connecter à l'instance:
Oct 8 18:07:41 instance-1 sshd[32486]: Invalid user aPlcmSpIp from 88.168.134.63
Oct 8 18:07:47 instance-1 sshd[32488]: Invalid user admin from 88.168.134.63
Oct 8 18:07:55 instance-1 sshd[32490]: Invalid user ubnt from 88.168.134.63
Oct 8 18:08:02 instance-1 sshd[32492]: Invalid user fax from 88.168.134.63
Oct 8 18:08:08 instance-1 sshd[32494]: Invalid user user1 from 88.168.134.63
Oct 8 18:08:23 instance-1 sshd[32498]: Invalid user admin from 88.168.134.63
Oct 8 18:08:33 instance-1 sshd[32500]: Invalid user test from 88.168.134.63
Oct 8 18:08:41 instance-1 sshd[32503]: Invalid user admin from 88.168.134.63
Oct 8 18:08:51 instance-1 sshd[32505]: Invalid user user1 from 88.168.134.63
Oct 8 18:08:55 instance-1 sshd[32507]: Invalid user support from 88.168.134.63
Oct 8 18:09:02 instance-1 sshd[32509]: Invalid user ftp from 88.168.134.63
Oct 8 18:09:14 instance-1 sshd[32513]: Invalid user user from 88.168.134.63
Oct 8 18:09:20 instance-1 sshd[32515]: Invalid user demo from 88.168.134.63
Oct 8 18:09:30 instance-1 sshd[32517]: Invalid user user from 88.168.134.63
En voyant un grand nombre de tentatives pendant le temps de la attaque
Rootkit chasseur
J'ai installé rkhunter et a couru le chèque, aucun avertissement spécial a été introduit il
donc certainement mon exemple était une cible pour une attaque qui a déclenché une certaine façon excessive le trafic sortant. Que puis-je faire de plus pour enquêter sur la raison de la suspension de mon projet et pour empêcher que cela se produise à l'avenir?