【发布时间】:2019-04-16 22:20:15
【问题描述】:
所以昨晚我收到了一封来自 google-cloud-compliance 的邮件,其中一个 VM 实例存在一些严重问题,如果该模式继续存在且未提起上诉,它将在 72 小时后暂停。以下是我收到的邮件。
我们最近检测到您的 Google Cloud 项目已 对第三方进行入侵尝试,并且似乎是 违反我们的服务条款。具体来说,我们检测到端口 扫描源自 Compute Engine 的远程端口 22 项目在 2019-04-02 09:31 之间针对超过 4451 个 IP 地址 和 2019-04-02 09:55(太平洋时间)。请检查交通 源自您的所有实例并修复任何其他实例 可能会受到影响。
要通过 ssh 访问 VM,您必须在实例本身中添加您的公钥,并且在实例中部署了一个最小的 Django 项目,所以我认为这不是由于这两件事。所以我的问题是是什么原因造成的,以及如何保护我的 VM 实例。
【问题讨论】:
-
您如何访问您的实例?你的root用户打开了吗?实例上有密码吗?哪个用户正在运行您的 django? fw 规则是否配置正确?
-
@night-gold 访问实例公钥需要添加到谷歌控制台中的实例,并通过提及访问私钥实例。 django 是通过 root 用户配置的。我不确定您所说的转发规则是什么意思。
-
我对刚刚检查的谷歌身份验证很熟悉。这里最大的问题是让你的django运行的用户......如果攻击者使用django的安全漏洞,他可以完全访问你的计算实例......永远不要以root身份运行......我询问了防火墙规则了解您是否没有打开某些端口,这些端口可能会因为您的应用未使用而被关闭,但可能被用于攻击。
-
@night-gold 好的,我会调查的,谢谢您的帮助。
标签: networking google-cloud-platform