Рейтинг:0

Повторные уведомления о соответствии GCP

флаг ng

Я на GCP уже около 3 месяцев. За эти 3 месяца я получил 6 уведомлений от GCP о том, что один из моих вычислительных движков создает атаку типа «отказ в обслуживании». Они предоставляют IP-адрес CE и время, когда атака вызвала предупреждение о соответствии (последнее уведомление было от 25.11.2021 00:10 до 25.11.2021 00:10).

Я сделал столько шагов, сколько мог. У меня есть 2 типа программного обеспечения IDS, установленного на машине (ни один из них не зафиксировал никаких попыток компрометации), и у меня есть локальный брандмауэр на сервере, блокирующий весь входящий и исходящий трафик, за исключением специально необходимого трафика.Кроме того, я сделал последний шаг и использовал брандмауэр на GCP, чтобы заблокировать весь входящий и исходящий трафик, за исключением специально необходимого трафика.

Я просто не знаю, куда идти отсюда. Может показаться, что эти уведомления о соответствии предназначены для того, чтобы потребовать от меня приобрести поддержку, чтобы я мог обсудить это со службой поддержки GCP. У кого-нибудь еще есть какие-нибудь мысли, прежде чем я скину неизвестные $$$$ в поддержку?

Спасибо любезно...

John Hanley avatar
флаг cn
1) Ваш первый шаг - выключить эту систему - например. сделать это прямо сейчас. 2) Google скоро приостановит действие этой системы и/или вашей учетной записи. Я удивлен, что ваша система еще не отключена. 3) Создайте снимок диска(ов), создайте новую систему и восстановите снимок как дополнительный диск. Проведите судебно-медицинскую экспертизу, чтобы выяснить, что не так. 4) Маловероятно, что служба поддержки Google сможет вам помочь. Фактическая криминалистическая экспертиза должна быть выполнена вами или консультантом, имеющим доступ к системе. 5) Если вас беспокоят деньги, создайте новую систему и переустановите приложение.
флаг ng
Привет, Джон, я понимаю твою точку зрения. Я пойду дальше и сделаю это, чтобы посмотреть, изменится ли что-нибудь. Несколько лет руководил следственной компанией, занимающейся компьютерной криминалистикой. Я уверен, что эта машина не выполняет никаких атак.Это конечная точка Debian OpenVPN, в этом вся ее цель. Больше ничего на машину не устанавливалось. Хэши файлов ОС для сетевых двоичных файлов совпадают с документированными хэшами файлов Debian. Просто сбивает с толку, что они продолжают делать эти заявления, а через 2 недели отвечают на мое возражение и говорят, что все в порядке. Они также никогда не могут предоставить никаких подробностей...
John Hanley avatar
флаг cn
Сложная ситуация. В игре есть и политика, и политика, и технологии. Однако, если Google решит, что ваша виртуальная машина представляет опасность... я бы просто создал новую виртуальную машину. Рассмотрите эту практику аварийного восстановления для ваших процедур резервного копирования.
John Hanley avatar
флаг cn
Примечание. В 100% случаев, в которых я участвовал (около 20), Google был прав. Есть несколько блестящих хакеров. Подсказка: проверьте еще раз, что троян не запускается из CRON.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.