因此,昨晚我收到了来自google-cloud-compliance的邮件,其中一个VM实例存在一些严重问题,如果模式继续并且没有提交上诉,它将在72小时后暂停。以下是我收到的邮件。
我们最近检测到您的Google Cloud Project一直在对第三方进行入侵尝试,但似乎违反了我们的服务条款。具体来说,我们在2019-04-02 09:31和2019-04-02 09:55(太平洋时间)之间检测到源自您的计算引擎项目的远程端口22上的端口扫描,目标是超过4451个IP地址。请检查源自所有实例的流量,并修复可能受此影响的任何其他实例。
要通过ssh访问VM,你需要在实例本身添加你的公钥,并在实例中部署一个最小的Django项目,所以我不认为这是由于这两件事。所以我的问题是导致它的原因以及如何保护我的VM实例。
我强烈建议您删除您的VM实例,因为您无法完全确定它的实际受损程度。
一旦重新创建了所有内容,您可以采取一些措施来防止再次发生这种情况。如评论中所述,我将使用强密码,我将确保您正在使用的所有软件都已正确更新和修补,尤其是Django。
另外,我将使用最小权限最佳实践来查看防火墙规则。例如,您可以确保在端口22中只允许使用您用于访问实例的IP。
最后,我建议你去看看this。这是一项新的测试版功能,可让您检测“源自组织内部的DDoS攻击”。此外,您可以检查this best practices以加强SSH访问。其中特别引人注目的是https://www.sshguard.net/,能够在几秒钟内识别出几次登录失败等模式,然后阻止违规的IP。