înregistrare Logare
Puncte:0
avatar Server

Notificări repetate de conformitate GCP

drapel ng
G. Malsack

Sunt pe GCP de aproximativ 3 luni acum. În acele 3 luni, am primit 6 notificări de la GCP care spuneau că unul dintre motoarele mele de calcul creează un atac de tip denial of service. Acestea furnizează adresa IP a CE și ora la care atacul a declanșat alerta de conformitate (care această ultimă notificare a fost 2021-11-25 00:10 până la 25-11-2021 00:10).

Am făcut cât mai mulți pași pot face. Am 2 tipuri de software IDS instalate pe mașină (nici nu au capturat nicio încercare de compromis) și am un firewall local pe server care blochează tot traficul de intrare și de ieșire, cu excepția traficului solicitat în mod special.În plus, am făcut un ultim pas și am folosit firewall-ul pe GCP pentru a bloca tot traficul de intrare și de ieșire, cu excepția traficului solicitat în mod special.

Pur și simplu nu știu unde să merg de aici. S-ar părea că aceste notificări de conformitate ar trebui să îmi solicite asistență, astfel încât să pot discuta acest lucru cu personalul de asistență GCP. Mai are cineva vreun gând înainte să arunc $$$$ necunoscut la asistență?

Multumesc frumos...

23
0 + 0
John Hanley avatar
drapel cn
John Hanley
1) Primul pas este să închideți acel sistem - de ex. fă-o chiar acum. 2) Google va suspenda în curând sistemul respectiv și/sau contul dvs. Sunt surprins că sistemul dumneavoastră nu a fost deja terminat. 3) Creați un instantaneu al unităților de disc, creați un nou sistem și restaurați instantaneul ca disc suplimentar. Efectuați criminalistică pentru a afla ce este în neregulă. 4) Este puțin probabil ca Asistența Google să vă poată ajuta. Criminalistica propriu-zisă va trebui efectuată de dvs. sau de un consultant care are acces la sistem. 5) Dacă banii sunt o problemă, creați un nou sistem și reinstalați aplicația.
0
Răspunde
drapel ng
G. Malsack
Bună John, vă înțeleg punctul de vedere. Voi merge înainte și voi face asta să văd dacă se schimbă ceva. A operat de câțiva ani o companie de investigații care efectuează criminalistică informatică. Sunt sigur că această mașină nu are performanță niciun atac.Este un punct final Debian OpenVPN, acesta este întregul său scop. Nimic altceva nu a fost instalat pe mașină. Hash-urile fișierelor OS pentru binarele de rețea se potrivesc cu hashurile fișierelor documentate de Debian. Este pur și simplu derutant că ei continuă să facă aceste afirmații, apoi 2 săptămâni mai târziu răspund la obiecția mea și spune-mi că totul este în regulă. De asemenea, ei nu pot oferi niciodată detalii...
0
Răspunde
John Hanley avatar
drapel cn
John Hanley
Situatie dificila. Ai în joc atât politica, politicile, cât și tehnologia. Cu toate acestea, dacă Google decide că VM-ul dvs. este un risc... aș crea doar un nou VM. Luați în considerare această practică de recuperare în caz de dezastru pentru procedurile de backup.
0
Răspunde
John Hanley avatar
drapel cn
John Hanley
Notă: în 100% din cazurile în care am fost implicat (~20), Google a avut dreptate. Există câțiva hackeri străluciți acolo. Sugestie: verificați din nou dacă un troian nu este lansat din CRON.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.