Network Internet Egress from Americas to China on SFTP server
I set up an instance 10 days ago with an installation of Centos to use as a backup system. I followed this tutorial:
https://medium.com/@biancalorenpadilla/sftp-google-cloud-storage-d559fd16e074
Looking at the billing I see this: Интернет-выход из Северной и Южной Америки в Китай 79,08 Мебибайт
http и https заблокированы. Случайный 12-значный пароль SSH. В журналах экземпляров ничего не регистрируется с того дня, как я его установил.
Может ли этот объем данных поступить от людей, проверяющих порты, или сервер, вероятно, был взломан?
Возможно, вы подверглись DDOS-атаке. . И чтобы смягчить это или избежать в будущем, вам следует реализовать фильтрацию исходящего трафика [1].
Поскольку исходящий трафик находится в пределах контроля клиента, поскольку вы несете ответственность за конфигурацию своих виртуальных машин и брандмауэров, рассмотрите возможность защиты своего проекта с помощью передовых методов [ 2] или, например, создание правила выходного брандмауэра, чтобы разрешить трафик только на предполагаемые IP-адреса.
Вы можете использовать журналы потоков VPC [3], которые могут помочь отслеживать трафик (исходящий), исходящий от ваших экземпляров, и отфильтровывать любой непредусмотренный IP-адрес, обращающийся к виртуальной машине, с использованием выходного межсетевого экрана.
Вам необходимо поставить перед сервером некоторую аутентификацию / авторизацию, чтобы убедиться, что он пытается предотвратить потенциальные атаки некоторых ботов (которые могут сканировать все IP-адреса и пытаться подключиться к каждому порту). Просьба следовать рекомендациям по этим ссылкам [4]
[1] https://www.sans.org/reading-room/whitepapers/firewalls/egress-filtering-faq-1059 [2] https://cloud.google.com /files/GCPDDoSprotection-04122016.pdf[12120 visiblehttps://cloud.google.com/vpc/docs/using-flow-logs [4] https://cloud.google.com/security