Я установил экземпляр 10 дней назад с установкой Centos для использования в качестве системы резервного копирования. Я последовал этому руководству:
https://medium.com/@biancalorenpadilla/sftp-google-cloud-storage-d559fd16e074
Глядя на биллинг, я вижу следующее: Интернет-выход сети Compute Engine из Америки в Китай 79,08 Мебибайт
http и https заблокированы. Случайный 12-значный пароль SSH. В журналах экземпляров ничего не регистрируется с того дня, как я их установил.
Может ли такой объем данных поступать от людей, исследующих порты, или сервер, вероятно, был взломан?
Есть вероятность, что вы подверглись DDOS-атаке. И чтобы смягчить это или избежать в будущем, вы должны реализовать исходящую фильтрацию [1].
Поскольку исходящий трафик находится под контролем клиента, поскольку вы несете ответственность за настройку своих виртуальных машин и брандмауэров, рассмотрите возможность защиты своего проекта с помощью передовых методов [2] или, например, создания правила выходного брандмауэра, чтобы разрешить трафик только на предполагаемые IP-адреса.
Вы можете использовать журналы потоков VPC [3], которые могут помочь отслеживать трафик (исходящий), исходящий от ваших экземпляров, и отфильтровывать любой непреднамеренный IP-адрес, обращающийся к виртуальной машине, с использованием выходного межсетевого экрана.
Вам необходимо поставить некоторую аутентификацию / авторизацию перед сервером, чтобы убедиться, что он пытается предотвратить потенциальные атаки некоторых ботов (которые могут сканировать все IP-адреса и пытаться подключиться к каждому порту). Пожалуйста, следуйте рекомендациям по этим ссылкам [4]
[1]https://www.sans.org/reading-room/whitepapers/firewalls/egress-filtering-faq-1059 [2] https://cloud.google.com/files/GCPDDoSprotection-04122016.pdf
[3] https://cloud.google.com/vpc/docs/using-flow-logs [4] https://cloud.google.com/security