O que você faz se estiver sendo invadido por algo proveniente de um endereço IP supostamente legítimo como o Google?

Navegue suas respostas
56

Hoje cedo fui solicitado a usar um CAPTCHA - por causa de uma atividade de pesquisa suspeita - ao fazer uma pesquisa no Google. Então, presumi que um PC da minha rede tinha um vírus ou algo assim.

Depois de bisbilhotar, notei - dos meus registros de roteador - que havia toneladas de conexões com o meu Raspberry Pi que eu havia configurado como um servidor da Web - porta encaminhada para 80 e 22 -, então eu puxei o cartão, desliguei esse porta para a frente e re-imaginado desta vez como um " pote de mel " e os resultados são muito interessantes

O pote de mel está relatando que há tentativas bem-sucedidas de fazer login com a combinação username / pass pi / raspberry e registra os IPs - que estão chegando em quase todos os segundos - e alguns dos IPs quando eu investigar é suposto ser o IP do Google.

Então, eu não sei, eles estão fazendo, se é suposto " chapéu branco ? , como queiras. Parece que isso é uma invasão ilegal. Eles não estão fazendo nada depois de fazer login.

Aqui está um exemplo de endereço IP: 23.236.57.199

    
por Grady Player 22.03.2015 / 02:11

2 respostas

62

So I don’t know, are they doing, if it is supposed “white hat” stuff, or whatever. It seems like that is an illegal intrusion. They aren’t doing anything after they log in.

Você está assumindo que o próprio Google está "atacando" seu servidor, quando a realidade é que o Google também oferece serviços de hospedagem e hospedagem de aplicativos para a maioria das pessoas que pagam para usá-los. Assim, um usuário que usa esses serviços pode ter um script / programa funcionando que esteja fazendo o "hacking".

Fazendo uma pesquisa de registro de DNS reverso (PTR) em 23.236.57.199 confirma ainda mais esta ideia: 

199.57.236.23.bc.googleusercontent.com

Você pode verificar isso - sozinho - na linha de comando do Mac OS X ou Linux assim: 

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

E o resultado que recebo da linha de comando no Mac OS X 10.9.5 (Mavericks) é: 

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Ou você pode usar apenas +short para obter verdadeiramente apenas a resposta principal como: 

dig -x 23.236.57.199 +short

Qual seria o retorno: 

199.57.236.23.bc.googleusercontent.com.

O nome de domínio base de googleusercontent.com é claramente o que é, "Conteúdo do usuário do Google", que é conhecido por estar conectado a Produto" plataforma como serviço "do Google App Engine . E isso permite que qualquer usuário crie e implemente código em Python, Java, PHP & Ir aplicativos para o seu serviço.

Se você acredita que esses acessos são mal-intencionados, denuncie suspeitas de abuso ao Google diretamente por meio desta página . Não se esqueça de incluir seus dados de registro brutos para que a equipe do Google possa ver exatamente o que você está vendo.

Além disso, esta resposta do Stack Overflow explica como se pode obter uma lista de endereços IP conectados ao googleusercontent.com nome do domínio. Pode ser útil se você quiser filtrar acessos do "Conteúdo do usuário do Google" de outros acessos ao sistema.

    
por 22.03.2015 / 02:40
38

As seguintes informações obtidas usando o comando whois 23.236.57.199 explicam o que você precisa fazer: 

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.
    
por 22.03.2015 / 15:42

Tags

cria tar com vários diretórios e locais de arquivos Compartilhando o mesmo 'ssh-agent' entre várias sessões de login