AWS가 부당한 방문을 받았기 때문에 당시의 대응 상황을 기록해야 한다(환불받았다)

3871 단어 AWS
  • 5/27 20:34
  • AWS로부터 계정이 comporomised인 메일을 받았다.
  • 21:50〜22:20
  • 메일을 발견했습니다.AWS에 로그인할 수 없습니다. 보통입니다.비밀번호가 바뀌었나요?
  • 우선, 비밀번호 변경 수속을 밟고 로그인을 시도한다.
  • 전체 영역에 대량의 EC2 인스턴스가 생성됩니다.나 진짜 기억 안 나.애간장이 타다.
  • 청구를 보면 달러 479.96에 막힌 것 같은데?EC2만 사용했습니다.기억 안 나는 IAM 캐릭터를 만들었어요.꺼지다
  • 먼저 실례에서 수동으로 삭제합니다.
  • 모두 20개의 실례로 2개만 운행되었다.다른 건 다 스토퍼야.AWS 분들이 하신 건가요?
  • 나는 EU 지역이 멀어서 반응이 느리다고 생각한다.
  • 지원에'전화'를 설정해 문의한 뒤 영어로 걸려온 전화라'영어를 할 줄 모른다'고 하면 이메일을 보낸 것으로 알려졌다.
  • 일본어만 할 줄 알면 일본어로 사례를 만들어 달라는 요청을 받는다.
  • 먼저 하고 싶지만 일본에서 대응할 수 있는 것은 9:00~18:00 사이다.영어의 경우 무슨 문제가 있는지 물어본다.
  • 파리의 지역이 왜 그런지 모르겠지만 실례가 없다.
  • 22:20
  • 실례적인 스냅숏도 만들었다.지우고 싶은데 안 지워져요.나는 AMI의 인상을 먼저 없애야 한다는 것을 안다.
  • 22:40
  • EC2 인스턴스가 모두 삭제되었으므로 지원되는 응답이 없습니다.
  • 혹시 모르니 비밀번호를 다시 변경합니다.
  • 5/28 9:17
  • 청구서를 재확인하면 2136.73달러로 늘었다.역시 이거 못 내겠네.어제의 단계는 아직 계산하지 않은 것 같다.
  • 16:27
  • 지원에 대한 연락처가 対応中로 변경되었습니다.
  • 19:01
  • 일본에서 온 지원은 "영어로 온 메일에 해야 할 일이 적혀 있으니 그것을 하라. 했으면 보고하라."이런 지시를 받고송이경(신지현): 영어라서 제대로 읽지는 못했는데 하고 보고하라고 적혀 있는 것 같아요. 그 메일은 어떻게 해야 하냐고 물어보는 것 같은데요?
  • 해야 할 일을 일본어로 보내왔기 때문에 해야 한다.
  • 비밀번호의 변경.(두 번 했다)
  • 액세스 키 삭제(루트 계정)
  • 액세스 키 삭제(IAM)
  • 어플리케이션에서 사용된 액세스 키를 제거하고 교체(사용하지 않으므로 상관없음)
  • 이동하는 EC2 인스턴스에서 자신과 무관한 모든 삭제(사용하지 않았기 때문에 모두 삭제)
  • 마땅히 해야 할 일을 했다!보고하다.
  • 미국의 지원으로 불법 방문을 통해 비용을 받기를 원한다는 메일이 왔다.24시간 후 업데이트라고 써 있어서 면제 가능한가요?
  • 5/29 11:10
  • 일본의 지원 "해외 담당 부서와 상의를 면제할지 여부는 잠시만 기다려달라!"이런 연락이 왔습니다.기다리다.
  • 6/5 9:10
  • 미국 담당자가 환불 통지를 보냈다.
  • 전액 환불.
  • 하지만 6월 요청은 S3에서 3개의 요청을 수행했고 1엔의 요청이 왔다.S3에 물통이 없으니 이 부탁이 뭐야...해커는 계속되고 있나?한층 더 알아보다.
  • 계정 정보

  • 2단계 인증 설정 없음
  • 비밀번호는 7년 전 아마존.인터넷에서 물건을 사고 안 바꿨어요.반복해서 사용하지 않았다.영문 소문자 12자만 있다.
  • AWS를 배우기 위해 2년 전 AWS에 접속했다.하지만 7년 전 아마존.인터넷에서 물건을 살 때 등록을 했기 때문에 계정은 아주 오래 전에 존재했습니다.
  • 에는 IAM 액세스 키 2개와 루트 계정 액세스 키 2개가 있습니다.
  • 하지만 루트 계정의 접근 키 중 하나는 적들이 만든 것이다.
  • 또 다른 방문키는 1년 전 3월에 만들었는데 뭘 위해 만들었는지 전혀 기억이 안 나는데...
  • IAM의 방문 키가 Kinesis에 접근할 수 있는 것과 다른 것이 무엇인지 잊어버렸다...EC2를 방문하기 위해서인 것 같습니다.
  • 불법 방문 경위를 묻고 있다.기술적인 범위라 답변을 받을 수 있을지 모르겠다.
  • 라는 답변을 받았다.메일과 비밀번호가 누설되었는데 괜찮겠습니까?결제 정보가 뭘까요?신용카드 번호와 메일 주소를 조합해서 로그인할 수 있습니까?
  • AWS(AWS 계정과 연관된 Amazon.com 계정) 이외의 사이트에서 악의적인 제3자는 고객의 메일 개인정보와/또는 지불정보를 얻고 AWS 계정을 방문했다.

    메모지


    할 수 있는 게 없으니까 일지 같은 거 잠깐 봐요.
  • 권한 요건에 따라 Data Transfer에서 US West (Oregon) 각 영역에 0.435GB의 데이터를 전송합니다.각각 0.01달러입니다.
  • 즉 공격자가 처음에 오리건에서 실례를 세운 다음에 손을 다른 구역으로 뻗는 것이다.
  • 클로우드 워치를 보고 오늘 12시 30분에 첫 번째 실례를 만들었다.
  • 자세히 보면 13:34에 불법 방문이 될까요이런 메일을 받았어요.묻혀서 몰랐어.
  • 20:34 AWS 측에서 들여쓰기 메일을 보냈습니다.클로우드 워치를 보면 여기에 각자의 영역을 남긴 EC2 실례 중 2대가 18대를 멈췄다.아마, 이것은 AWS 측에서 처리한 것일 것이다.
  • 최고 요청은 Asia Pacific (Seoul) 지역의 74.69달러였다.i2.8xlarge는 강한 녀석으로 두 시간 만에 16.00달러를 요구했다.가상 CPU 32개, 스토리지 244GB 소개
  • 식당차 같은 건 오늘 12시 30분~22시까지 사용해야 하는데 계산서에 2Hrs만 적혀 있어요.→다음날이 되면 이미 비용을 계산해 놓았다.25만 엔.
  • 기타 기록


    비용



    좋은 웹페이지 즐겨찾기