Estou sendo escolhido por um proxy enviando meus IP / URLs de solicitação para a China? Esboçado

Navegue suas respostas
1

Eu criei uma nova máquina na Digital Ocean hoje, que é pré-configurada com um ambiente web. Fiz uma solicitação inicial para o novo site e encontrei o seguinte (endereço IP redigido) nos meus registros de acesso nginx: 

218.65.131.13 - - [16/Apr/2015:07:14:50 -0400] "GET http://218.65.131.13/intoIp.aspx?ip=111.111.111.111:8080 HTTP/1.1" 502 568 "-" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
218.65.131.20 - - [16/Apr/2015:07:42:59 -0400] "GET http://218.65.131.13/intoIp.aspx?ip=111.111.111.111:8080 HTTP/1.1" 502 568 "-" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
218.65.131.13 - - [16/Apr/2015:08:04:08 -0400] "GET http://218.65.131.13/intoIp.aspx?ip=111.111.111.111:8080 HTTP/1.1" 502 568 "-" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
218.65.131.20 - - [16/Apr/2015:08:36:15 -0400] "GET http://218.65.131.13/intoIp.aspx?ip=111.111.111.111:8080 HTTP/1.1" 502 568 "-" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"

É óbvio que, de alguma forma, eles conseguiram cheirar a solicitação e olhar para ter subseqüentemente passado a URL de solicitação para o servidor 218.65.131.13 , porque o log também inclui o número de porta não padrão que eu usei. Fiz uma pesquisa inversa de IP e descobri que esse IP pertence à China Telecom, conforme mostrado aqui .

Isso é um pouco problemático desde que fiz a solicitação de um servidor DigitalOcean hospedado para outro novo servidor DigitalOcean.

Eu fiz um traceroute depois do fato que não revelou nada interessante: 

traceroute to 111.111.111.111 (111.111.111.111), 30 hops max, 60 byte packets
 1  162.243.160.253 (162.243.160.253)  0.459 ms  0.440 ms  0.417 ms
 2  198.211.111.70 (198.211.111.70)  0.407 ms  0.398 ms 198.211.111.66 (198.211.111.66)  0.797 ms
 3  xe-0-3-0-28.r05.nycmny01.us.bb.gin.ntt.net (204.2.241.49)  1.029 ms nyk-b2-link.telia.net (62.115.45.1)  0.705 ms  0.702 ms
 4  xe-0-1-0-34.r05.nycmny01.us.ce.gin.ntt.net (129.250.204.110)  1.631 ms nyk-bb2-link.telia.net (213.155.130.31)  0.752 ms xe-0-1-0-34.r05.nycmny01.us.ce.gin.ntt.net (129.250.204.110)  1.620 ms
 5  nyk-b3-link.telia.net (80.91.247.21)  1.234 ms 162.243.188.230 (162.243.188.230)  1.602 ms 162.243.188.242 (162.243.188.242)  1.869 ms
 6  digitalocean-ic-306497-nyk-b3.c.telia.net (62.115.45.6)  1.863 ms digitalocean-ic-306498-nyk-b3.c.telia.net (62.115.45.10)  1.588 ms example.com (111.111.111.111)  1.576 ms

Alguma sugestão sobre o que eu deveria estar procurando para rastrear como essa solicitação vazou / foi compartilhada ou se há uma violação de segurança em algum lugar?

    
por Corey Ballou 16.04.2015 / 15:18

0 respostas

Tags

Autenticação do AD usando LDAP: Posso autenticar fora do DMZ / Domain Server 2012 Remote Desktop Services como ver coleções na lista que se expande na parte inferior da tela?