منتشرشده در cloud-computing، cryptocurrency، Google، python، vulnerability، فیلتر شکن

من یک نمونه جریان هوا را اجرا می کنم که برنامه ریز پردازش پیتون است ، که برای تحریک فرایند مختلف پیتون ML استفاده می شود که هیچ ارتباطی با استخراج کریپتو ندارد. این فرایندی است که این روند dockerized را اجرا می کند https://github.com/puckel/docker-airflow
من هنوز نمی دانم که آیا این یک نکته مثبت کاذب از طرف گوگل است یا اینکه کسی واقعاً به نمونه من دسترسی پیدا کرده است و به صورت رمزگذاری شده مین گذاری شده است.

من این نامه الکترونیکی را از Google 

 دریافت کردم.
ما تشخیص داده ایم که Google Cloud Project xxxxx (شناسه: xxxxx) شما در حال استخراج معادن cryptocurrency است ، و در نتیجه تعلیق تمام منابع پروژه این رفتار را نشان می دهد.

بنابراین من با پشتیبانی تماس گرفتم و آن را مجدداً حذف و حذف کردم و نمونه را از نو مجدداً بازسازی کردم و دوباره و دوباره اتفاق می افتد. نکته جالب این است که پس از 2 ساعت ایجاد نمونه (4 CPU ، 10 GB RAM) ، استفاده از CPU به 100٪ می رسد و من نمی دانم چطور اتفاق می افتد. این فقط یک سرور توسعه است بنابراین سرور مجدد من از رمز عبور محافظت نمی شود. آیا می تواند باعث آسیب پذیری شود؟

برای دیدن کد دقیقی که به عنوان نمونه در حال اجرا بود ، می توانید به شماره دیگری که ارسال کردم نگاه کنید: https://github.com/puckel/docker-airflow/issues/507 موفق19659002 تیم اعتماد و ایمنی و اطلاعات زیر را ارائه دادند.

پرچمی که برافراشته شده است و برخی از جزئیات بحث از تیم اعتماد و امنیت GCP:

"منابع مرتبط با پروژه شما برای استخراج Cryptocurrency به دلیل نقض شرایط خدمات ما. 

 abuse_start_timestamp: "2020-02-17 16:17"
abuse_stop_timestamp: "2020-02-17 16:25"
Source_ips: "34.87.94.235"
destination_ips: "107.173.160.165"
آدرس های اینترنتی: "107.173.160.165"
total_core_hours: 101.0
vm_resource_id_zone_name: "2080774995510078591: آسیا-جنوب شرقی1-ب"
vm_hostname_zone_name: "جریان هوا: آسیا-جنوب شرقی1-ب"
remote_port_list: "5555"

"آیا واقعاً پروژه شما به پایان رسیده است تا به HIFormance یا ColoCrossing در کالیفرنیا ، ایالات متحده خاتمه یابد؟ این همان IP مقصد و نشانی اینترنتی (107.173.160.165) پروژه برای هر پرونده داده شده است. این نتیجه زمانی است که چندین جستجو IP را انجام دادم. . "

"
بندر 5555 همان چیزی است که شما به آن بندری معروف می گویند. متأسفانه ، این با تهدیدها و تروجان ها همراه است. بیشتر و بیشتر ، به نظر می رسد که نمونه ممکن است ربوده شده باشد. با این حال ، به جای بازی کردن بازی حدس می زنم ، می خواهم منتظر اطلاعات تیم اعتماد و ایمنی مان باشم. "

من برای امنیت بسیار جدید هستم ، بنابراین اگر سوالات من خیلی احمقانه هستند اما از

  • چگونه می توانم عذر خواهی کنم. کسی به عنوان مثال من به معدن رمزنگاری شده روی آن دسترسی پیدا می کند؟

  • آیا استفاده از CPU 100٪ نشانه ای از استخراج کریپتو است؟

  • آیا یک سرور redis محافظت نشده محافظت می کند که مسئولیت آن باشد؟

  • من برای ورود به سیستم از SSH استفاده می کنم؟ اگر دلیل این باشد که سایر موارد من نیز تحت تأثیر قرار می گیرند ، VM نمی تواند این باشد؟

  • آیا تغییر IAM مفید است؟

  • آیا کتابخانه های مخرب پیتون / js می توانند در رمزنگاری پیش زمینه اجرا شوند. استخراج معادن؟

من از زمان اعاده مجدد پرونده خودم چه کاری باید انجام دهم ، اما هیچ وقت توضیحی در مورد نحوه وقوع آن ندیدم. هر کمکی قدردانی می شود.

تگ ها: