the safety EC2 hack

the safety EC2 hack:

俺です。

紀元前から稼働する古のEC2を調査して一体何がどうなってるのか調べることがたまにあると思います。

事故らないように調査する方法を書き残します。

シェルコマンドはRHEL系を例として載せてますです。

調査しよう

今動いてる奴らを記録しよう

# netstat -an > /root/unko.txt 
# ps -ef > /root/unkounko.txt 
# chkconfig --list > /root/unkounkounko.txt 
などなど 

AMIを作ろう

• やばそーなのはchkconfig offする
• sync;sync;syncしたあとno rebootでcreate-imageします
• create-imageが終わったらchkconfig onします

AMIを起動しようでもちょっとまって

EC2の中で何が仕込まれているかわかったもんじゃありません。

• cronでDB更新して事故るかもしれない
• mailが飛んでいって事故るかもしれない
• 謎の力で外部api kickされて事故るかもしれない

AMI調査専用のVPCとSecurity Groupを作る

• AMIを叩き上げるだけの専用VPCを作ります
• 以下のルールでコミュ障SG作り、インターネットの深淵から出てこれないようにします
• inbound: 俺のグローバルIPとメンテナンス経路のポート(例えば3389 or 22)
• outbound: ルールなし(deny)

EC2を起動する

• IAM Role(Instance Profile)はナシで起動する
• コミュ障SGだけ当てる
• 何もおきないことを祈る

lets調査

• 今こそ謎を解き明かすのだ藤岡弘、探検隊

調査が終わったら..

• 何が動いていたのかドキュメントを書きます
• terminateします

おわり