Что вы делаете, если вас взломали что-то с предположительно легитимного IP-адреса, такого как Google?

55

Ранее сегодня мне было предложено использовать CAPTCHA - из-за подозрительной поисковой активности - при поиске в Google, поэтому я предположил, что на компьютере в моей сети есть вирус или что-то подобное.

Обойдя вокруг, я заметил - из журналов моего маршрутизатора - что есть тонны подключений к моему Raspberry Pi, которые я настроил в качестве веб-сервера - порт, перенаправленный на 80 и 22 - поэтому я вытащил карту, выключил этот порт вперед и на этот раз переоценил его как « горшочек с медом », и результаты очень интересны

Горшок меда сообщает , что есть успешные попытки войти в систему с помощью комбинации имени пользователя / пасс pi/ raspberry, и регистрирует IP-адресов -Это приходят почти каждый второй-и некоторые из IP - адресов, когда я исследую должны быть IP -компании Google.

Так что я не знаю, делают ли они, если предполагается, что это « белая шляпа » или что- то в этом роде . Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.

Вот пример IP-адреса: 23.236.57.199

Grady Player
источник
17
Взгляните на это, а именно на комментарий: whois.domaintools.com/23.236.57.199
Qantas 94 Heavy
5
Если вы правильно закрепите устройство, это не должно вас беспокоить. На самом деле это ответ на вопрос: что делать? Закрепите устройство.
usr
1
Я откатил последнее редактирование, потому что основное внимание уделяется тому, что делать, если вы знаете, что на вас нападают, а не как предотвратить его ... что, я думаю, задокументировано во многих местах ...
Grady Player
Я надеюсь, что вы не используете pi/raspberryкомбинацию ни на чем другом, кроме своей приманки. В тот момент, когда вы делаете его доступным извне, у него должно быть что-то более приличное.
@mast pi - это только honeypot; в какой-то момент я просто вытяну логи, получу новый IP и перепрошью его
Grady Player

Ответы:

62

Так что я не знаю, делают ли они, если предполагается, что это « белая шляпа » или что- то в этом роде . Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.

Вы предполагаете, что сами Google «атакуют» ваш сервер, когда реальность такова, что Google также предоставляет услуги веб-хостинга и хостинга приложений большинству тех, кто платит за их использование. Таким образом, пользователь, использующий эти сервисы, может иметь скрипт / программу, которая выполняет «взлом».

Выполнение обратного просмотра DNS-записи (PTR) в23.236.57.199 дальнейшем подтверждает эту идею:

199.57.236.23.bc.googleusercontent.com

Вы можете проверить это - самостоятельно - из командной строки в Mac OS X или Linux следующим образом:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

И результат, который я получаю из командной строки в Mac OS X 10.9.5 (Mavericks):

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Или вы можете использовать только +shortдля того, чтобы действительно получить только основной ответ, как этот:

dig -x 23.236.57.199 +short

Который вернется:

199.57.236.23.bc.googleusercontent.com.

Базовое доменное имя, googleusercontent.comочевидно, так и называется: «Пользовательский контент Google», который, как известно, связан с продуктом Google App Engine «Платформа как услуга» . И это позволяет любому пользователю создавать и развертывать код в приложениях Python, Java, PHP & Go к своим услугам.

Если вы считаете, что эти обращения носят вредоносный характер, вы можете сообщить о предполагаемом злоупотреблении в Google непосредственно через эту страницу . Не забудьте указать свои необработанные данные журнала, чтобы сотрудники Google могли точно видеть, что вы видите.

В прошлом этот ответ о переполнении стека объясняет, как можно получить список IP-адресов, связанных с googleusercontent.comдоменным именем. Может быть полезно, если вы хотите отфильтровать доступ к пользовательскому контенту Google от других обращений к системе.

JakeGould
источник
39

Следующая информация, полученная с помощью команды, whois 23.236.57.199объясняет, что вам нужно сделать:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.
kasperd
источник
3
Проголосовал за краткость.
bbaassssiiee