Что вы делаете, если вас взломали что-то с предположительно легитимного IP-адреса, такого как Google?

13414
Grady Player

Ранее сегодня мне предложили использовать CAPTCHA - из-за подозрительной поисковой активности - при поиске в Google, поэтому я предположил, что на компьютере в моей сети был вирус или что-то в этом роде.

Обойдя вокруг, я заметил - из журналов моего маршрутизатора - что есть тонны подключений к моему Raspberry Pi, которые я настроил в качестве веб-сервера - порт, перенаправленный на 80 и 22 - поэтому я вытащил карту, выключил этот порт вперед и на этот раз переоценил его как « горшочек с медом », и результаты очень интересны

Горшок меда сообщает, что есть успешные попытки войти в систему с помощью комбинации имени пользователя / пасс pi/ raspberry, и регистрирует IP-адресов -Это приходят почти каждый второй, а некоторые из IP - адресов, когда я исследую должны быть IP -компании Google.

Так что я не знаю, делают ли они, если предполагается, что это « белая шляпа » или что- то в этом роде . Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.

Вот пример IP-адреса: 23.236.57.199

56
Взгляните на это, а именно на комментарий: http://whois.domaintools.com/23.236.57.199 Qantas 94 Heavy 9 лет назад 17
@ Qantas94Heavy; хорошо, спасибо. Grady Player 9 лет назад 0
Если вы правильно закрепите устройство, это не должно вас беспокоить. Это на самом деле ответ на вопрос: что делать? Закрепите устройство. usr 9 лет назад 5
Я откатил последнее изменение, потому что основное внимание уделяется тому, что делать, если вы знаете, что на вас нападают, а не тому, как его предотвратить ... что, я думаю, задокументировано во многих местах ... Grady Player 9 лет назад 1
Я надеюсь, что вы не используете комбинацию `pi / raspberry` ни для чего другого, кроме своей приманки. В тот момент, когда вы делаете его доступным извне, у него должно быть что-то более приличное. 9 лет назад 0
@mast pi - это только honeypot; в какой-то момент я просто вытяну логи, получу новый IP и перепрошью его Grady Player 9 лет назад 0
@usr - конечно, это должно касаться тебя. Хотя это не полный DoS, ~ 100 000 запросов в день по-прежнему облагаются налогом для сервера и могут легко подтолкнуть кого-то к превышению пропускной способности хостинга. Davor 9 лет назад 0
Он не отвечает на ваш вопрос «что делать», но может дать некоторый контекст: есть сервисы, такие как https://www.shodan.io/, которые делают это, они ищут уязвимые сервисы, такие как сервисы с учетными данными по умолчанию и индексом. их. Они якобы больше ничего не делают, просто индексируют их. Может быть, что-то подобное случилось с вами. Bastian 8 лет назад 0

2 ответа на вопрос

62
JakeGould

Так что я не знаю, делают ли они, если предполагается, что это « белая шляпа » или что- то в этом роде . Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.

Вы предполагаете, что сами Google «атакуют» ваш сервер, когда реальность такова, что Google также предоставляет услуги веб-хостинга и хостинга приложений большинству тех, кто платит за их использование. Таким образом, пользователь, использующий эти сервисы, может иметь скрипт / программу, которая выполняет «взлом».

Выполнение обратного просмотра DNS-записи (PTR) в23.236.57.199 дальнейшем подтверждает эту идею:

199.57.236.23.bc.googleusercontent.com

Вы можете проверить это - самостоятельно - из командной строки в Mac OS X или Linux следующим образом:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

И результат, который я получаю из командной строки в Mac OS X 10.9.5 (Mavericks):

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats ;; global options: +cmd 199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.

Или вы можете использовать только +shortдля того, чтобы действительно получить только основной ответ, как этот:

dig -x 23.236.57.199 +short

Который вернется:

199.57.236.23.bc.googleusercontent.com.

Базовое доменное имя, googleusercontent.comочевидно, так и называется: «Пользовательский контент Google», который, как известно, связан с продуктом Google App Engine «Платформа как услуга» . И это позволяет любому пользователю создавать и развертывать код в приложениях Python, Java, PHP & Go к своим услугам.

Если вы считаете, что эти обращения носят вредоносный характер, вы можете сообщить о предполагаемом злоупотреблении в Google непосредственно через эту страницу . Не забудьте указать свои необработанные данные журнала, чтобы сотрудники Google могли точно видеть, что вы видите.

В прошлом этот ответ о переполнении стека объясняет, как можно получить список IP-адресов, связанных с googleusercontent.comдоменным именем. Может быть полезно, если вы хотите отфильтровать доступ к пользовательскому контенту Google от других системных обращений.

38
kasperd

Следующая информация, полученная с помощью команды, whois 23.236.57.199объясняет, что вам нужно сделать:

Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers *** Comment:  Comment: Please direct all abuse and legal complaints regarding these addresses to the Comment: GC Abuse desk (google-cloud-compliance@google.com). Complaints sent to  Comment: any other POC will be ignored.
Проголосовал за краткость. bbaassssiiee 9 лет назад 3

Похожие вопросы