Google gibi sözde meşru bir IP adresinden gelen bir şey tarafından saldırıya uğradıysanız ne yaparsınız?

Bugün erken saatlerde, bir Google araması yaparken bir şüpheli arama etkinliği nedeniyle bir CAPTCHA kullanmam istendi, bu yüzden ağımdaki bir bilgisayarda virüs veya bir şey olduğunu varsaydım.

Etrafı karıştırdıktan sonra, yönlendirici günlüklerimden Raspberry Pi'ime web sunucusu olarak kurduğum tonlarca bağlantı olduğunu, yani 80 ve 22'ye iletilen bağlantı noktasının bulunduğunu fark ettim. bu sefer “ bal kabağı ” olarak yeniden görüntülendi ve sonuçlar çok ilginç

Bal potu, kullanıcı adı / pass kombinasyonu pi/ ile giriş yapmak için başarılı girişimlerde bulunduğunu raspberryve IP’nin kayıtlarını yapıyorlar - bunlar neredeyse her saniyede bir geliyor - ve araştırdığımda bazı IP’lerin Google’ın IP’si olması gerekiyor.

Bu yüzden bilmiyorum, yapıyorlar mı, “ beyaz şapka ” gibi şeyler varsa, ya da her neyse. Bu yasadışı bir izinsiz gibi görünüyor. Giriş yaptıktan sonra hiçbir şey yapmıyorlar.

Örnek bir IP adresi: 23.236.57.199

Bu yüzden bilmiyorum, yapıyorlar mı, “ beyaz şapka ” gibi şeyler varsa, ya da her neyse. Bu yasadışı bir izinsiz gibi görünüyor. Giriş yaptıktan sonra hiçbir şey yapmıyorlar.

Google’ın kendilerinin sunucunuza “saldırdığını” varsayıyorsunuz, gerçekte Google da onları kullanmak için para ödeyen herkese web barındırma ve uygulama barındırma hizmetleri sağlıyor. Bu yüzden, bu hizmetleri kullanan bir kullanıcının “hack” yapan bir senaryo / programı olabilir.

Bir Doing üzerinde (PTR) araması ters DNS kaydını23.236.57.199 başka doğrular bu fikir:

199.57.236.23.bc.googleusercontent.com

Bunu kendi başınıza kontrol edebilirsiniz - Mac OS X veya Linux'taki komut satırından:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Ve Mac OS X 10.9.5'deki (Mavericks) komut satırından aldığım sonuç:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Ya da +shortsadece bunun gibi sadece temel cevap cevabını gerçekten almak için kullanabilirsiniz :

dig -x 23.236.57.199 +short

Hangisi geri dönecekti:

199.57.236.23.bc.googleusercontent.com.

Temel alan adı googleusercontent.comaçıkça, Google App Engine’e “Hizmet Olarak Platform” ürünüyle bağlandığı bilinen “Google Kullanıcı İçeriği” deyin . Bu, herhangi bir kullanıcının Python, Java, PHP & Go uygulamalarında kodlarını oluşturmalarına ve dağıtmalarına olanak tanır.

Bu erişimlerin kötü amaçlı olduğunu düşünüyorsanız, şüpheli kötüye kullanımı Google’a doğrudan bu sayfa üzerinden bildirebilirsiniz . Ham günlük verilerinizi eklediğinizden emin olun, böylece Google çalışanları tam olarak ne gördüğünüzü görebilir.

Bunlardan herhangi birini geçtikten sonra, bu Yığın Taşması cevabı , googleusercontent.cometki alanına bağlı olan IP adreslerinin bir listesini almaya nasıl devam edebileceğini açıklar . Diğer sistem erişimlerinden “Google Kullanıcı İçeriği” erişimlerini filtrelemek istiyorsanız yararlı olabilir.

Komut kullanılarak elde edilen aşağıdaki bilgiler whois 23.236.57.199, yapmanız gerekenleri açıklar:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.