ต้องดำเนินการ: พบกิจกรรมที่น่าสงสัยในโครงการ Google Cloud

ฉันได้รับอีเมลต่อไปนี้จาก Google วันนี้ ทำการสแกนระบบของเราหลายครั้งและไม่มีอะไรออกมา - ที่อยู่ IP ปลายทางที่พวกเขาส่งมาคือ IP ของ Facebook สิ่งนี้สมเหตุสมผลหรือไม่? เราเรียกใช้โฆษณาบน Facebook และคำอธิบายเดียวของฉันคือโฆษณาที่เป็นอันตรายทำให้โฆษณาดังกล่าวเข้าสู่เครือข่ายโฆษณาของพวกเขา

ความช่วยเหลือใด ๆ ที่ชื่นชมมาก

ระบบของเราระบุว่า Google Cloud Platform / API Project ID ของคุณ [] อาจถูกบุกรุกและใช้สำหรับ การขุด cryptocurrency

ตรวจพบกิจกรรมนี้ว่ามาจาก IP XXX และ VM ID XX ไปยัง IP ปลายทาง 31.13.86.8 บนรีโมท พอร์ต 443 ระหว่าง 2021-12-02 01:34 และ 2021-12-02 01:45 (เวลาแปซิฟิก) แม้ว่ามันอาจจะยังคงดำเนินต่อไป

นี่คือขั้นตอนที่แนะนำของ GCP เมื่อผู้ใช้พบข้อความเตือนนั้น:

- หยุดอินสแตนซ์ทันที

-แจ้งผู้ใช้ที่ได้รับผลกระทบ พวกเขาอาจสงสัยว่าเหตุใดบริการของคุณจึงหยุดทำงาน

-ระบุแหล่งที่มาของช่องโหว่โดยการวิเคราะห์พฤติกรรมของอินสแตนซ์และซอฟต์แวร์ที่คุณติดตั้ง

- ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมดเป็นรุ่นล่าสุด ตรวจสอบช่องโหว่ที่รู้จักในซอฟต์แวร์ที่ติดตั้งในเครื่องของคุณและดำเนินการเชิงรุกเพื่อใช้แพตช์ความปลอดภัยล่าสุด

- ใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อให้แน่ใจว่าโครงการของคุณไม่ถูกบุกรุกโดยบุคคลที่สาม จากนั้นติดตั้งโครงการของคุณใหม่ทั้งหมด

-ปฏิบัติตามคำแนะนำในหัวข้อ ฉันจะทำอย่างไรเพื่อปกป้องอินสแตนซ์ของฉัน (ด้านบน) เพื่อให้แน่ใจว่าโครงการของคุณปลอดภัยในอนาคต

-หากคุณได้รับคำเตือนจาก Google Cloud Platform เกี่ยวกับพฤติกรรมที่น่าสงสัยโดยโปรเจ็กต์ของคุณ ให้อุทธรณ์คำเตือนโดยไปที่คอนโซล Google Cloud -Platform และอธิบายขั้นตอนที่คุณใช้เพื่อรักษาความปลอดภัยของอินสแตนซ์

GCP ไม่สามารถมองเห็นสิ่งที่ติดตั้งบนอินสแตนซ์ของคุณหรือซอฟต์แวร์ใดที่ทำให้เกิดปัญหา คุณมีหน้าที่รับผิดชอบในการตรวจสอบแหล่งที่มาของช่องโหว่และดำเนินการเพื่อบรรเทาปัญหาดังกล่าว หากคุณต้องการการสนับสนุนเพิ่มเติมเพื่อแก้ไขปัญหา โปรดดูที่หน้าการสนับสนุนแพลตฟอร์มคลาวด์ การสนับสนุนแพลตฟอร์มคลาวด์.

คุณสามารถไปที่ URL ข้อมูลอย่างเป็นทางการของ GCP ต่อไปนี้เป็นข้อมูลอ้างอิง การรักษาความปลอดภัยอินสแตนซ์: