雑種のポメラニアン

フリープログラマーの日記とか人生観とか綴るよ

KAGOYAのVPSで不審なことが起きた

一昨日KAGOYAから下記のメールが・・・

8月12日、ご利用インスタンスからの多量のトラフィック発生を
検知いたしました。
お調べしたところ、ご利用インスタンスから外部に対しての攻撃と見られる
通信が行われておりました。
被害拡大防止のため、勝手ながら ご利用インスタンス
については当社で停止いたしました。

とのこと。
sshでもアクセスできず、復旧は絶望的かと諦めた頃
夜中の2時にインスタンスが戻ってました。
急いでデータと画像をバックアップしました。

翌日KAGOYAに問い合わせたところ
「お調べできません」ということでした。
f:id:JironBach:20160814135039p:plain
上が復旧後のスナップショット。
下が攻撃中のスナップショットです。
攻撃前はスナップショットを撮ってませんでした。
問題はサイズなんですが、攻撃ツールを埋め込まれただけなら
サイズに大きな違いは出ないはずなんですが2GB近くも違うのは謎です。
インスタンスを差し替えられたとしか思えません。

スナップショットも撮ってないインスタンスの復旧なんて
KAGOYAの内部からしかできないんじゃないの???
どうも不可解な出来事でした。