Что вы делаете, если вас взломали что-то с предположительно легитимного IP-адреса, такого как Google?
Ранее сегодня мне было предложено использовать CAPTCHA - из-за подозрительной поисковой активности - при поиске в Google, поэтому я предположил, что на компьютере в моей сети есть вирус или что-то подобное.
Обойдя вокруг, я заметил - из журналов моего маршрутизатора - что есть тонны соединений с моим Raspberry Pi, которые я настроил в качестве веб-сервера - порт, перенаправленный на 80 и 22 - поэтому я вытащил карту, выключил этот порт вперед и на этот раз переоценил его как " горшочек с медом", и результаты очень интересны
Honey pot сообщает об успешных попытках входа в систему с комбинацией имя пользователя / пароль pi/raspberryи регистрирует IP-адреса - они появляются почти каждую секунду - и некоторые из IP-адресов, когда я занимаюсь расследованием, должны быть IP-адресами Google.
Так что я не знаю, делают ли они, если предполагается, что это " белая шляпа" или что-то в этом роде. Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.
Вот пример IP-адреса: 23.236.57.199
2 ответа
Так что я не знаю, делают ли они, если предполагается, что это " белая шляпа " или что-то в этом роде. Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.
Вы предполагаете, что сами Google "атакуют" ваш сервер, когда реальность такова, что Google также предоставляет услуги веб-хостинга и хостинга приложений большинству тех, кто платит за их использование. Таким образом, пользователь, использующий эти сервисы, может иметь скрипт / программу, которая выполняет "взлом".
Выполнение обратного просмотра DNS-записи (PTR) на 23.236.57.199 далее подтверждает эту идею:
199.57.236.23.bc.googleusercontent.com
Вы можете проверить это - самостоятельно - из командной строки в Mac OS X или Linux следующим образом:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
И результат, который я получаю из командной строки в Mac OS X 10.9.5 (Mavericks):
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
Или вы можете использовать только +short чтобы действительно получить только основной ответ, как это:
dig -x 23.236.57.199 +short
Который вернется:
199.57.236.23.bc.googleusercontent.com.
Базовое доменное имя googleusercontent.com Ясно, что это "пользовательский контент Google", который, как известно, связан с продуктом Google App Engine "Платформа как услуга". И это позволяет любому пользователю создавать и развертывать код в приложениях Python, Java, PHP & Go к своим услугам.
Если вы считаете, что эти обращения носят вредоносный характер, вы можете сообщить о предполагаемом злоупотреблении в Google непосредственно через эту страницу. Не забудьте указать свои необработанные данные журнала, чтобы сотрудники Google могли точно видеть, что вы видите.
В прошлом этот ответ о переполнении стека объясняет, как можно получить список IP-адресов, подключенных к googleusercontent.com доменное имя. Может быть полезно, если вы хотите отфильтровать доступ к пользовательскому контенту Google от других обращений к системе.
Следующая информация получена с помощью команды whois 23.236.57.199 объясняет, что вам нужно сделать:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk (google-cloud-compliance@google.com). Complaints sent to
Comment: any other POC will be ignored.