55

Ранее сегодня мне предложили использовать CAPTCHA - из-за подозрительной поисковой активности - при поиске в Google, поэтому я предположил, что на компьютере в моей сети был вирус или что-то в этом роде.

Обойдя вокруг, я заметил - из журналов моего маршрутизатора - что есть тонны подключений к моему Raspberry Pi, которые я настроил в качестве веб-сервера - порт, перенаправленный на 80 и 22 - поэтому я вытащил карту, выключил этот порт вперед и на этот раз переоценил его как « горшочек с медом », и результаты очень интересны

Honey Pot сообщает об успешных попытках входа в систему с помощью комбинации имя пользователя / пароль pi / raspberry и регистрирует IP-адреса (они появляются почти каждую секунду), а некоторые из IP-адресов, когда я занимаюсь расследованием, должны быть IP-адресами Google. ,

Так что я не знаю, делают ли они, если предполагается, что это « белая шляпа » или что-то в этом роде. Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.

Вот пример IP-адреса: 23.236.57.199

|источник

2 ответа2

62

Так что я не знаю, делают ли они, если предполагается, что это « белая шляпа » или что-то в этом роде. Похоже, это незаконное вторжение. Они ничего не делают после входа в систему.

Вы предполагаете, что сами Google «атакуют» ваш сервер, когда реальность такова, что Google также предоставляет услуги веб-хостинга и хостинга приложений большинству тех, кто платит за их использование. Таким образом, пользователь, использующий эти сервисы, может иметь скрипт / программу, которая выполняет «взлом».

Выполнение обратного просмотра DNS-записи (PTR) 23.236.57.199 дополнительно подтверждает эту идею:

199.57.236.23.bc.googleusercontent.com

Вы можете проверить это - самостоятельно - из командной строки в Mac OS X или Linux следующим образом:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

И результат, который я получаю из командной строки в Mac OS X 10.9.5 (Mavericks):

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Или вы можете использовать просто +short чтобы действительно получить только основной ответ:

dig -x 23.236.57.199 +short

Который вернется:

199.57.236.23.bc.googleusercontent.com.

Базовое доменное имя googleusercontent.com очевидно, соответствует названию «Пользовательский контент Google», которое, как известно, связано с продуктом Google App Engine «Платформа как услуга». И это позволяет любому пользователю создавать и развертывать код в приложениях Python, Java, PHP & Go к своим услугам.

Если вы считаете, что эти обращения носят вредоносный характер, вы можете сообщить о предполагаемом злоупотреблении в Google непосредственно через эту страницу. Не забудьте указать свои необработанные данные журнала, чтобы сотрудники Google могли точно видеть, что вы видите.

В прошлом этот ответ о переполнении стека объясняет, как можно получить список IP-адресов, связанных с доменным именем googleusercontent.com . Может быть полезно, если вы хотите отфильтровать доступ к пользовательскому контенту Google от других системных обращений.

|источник
39

Следующая информация, полученная с помощью команды whois 23.236.57.199 объясняет, что вам нужно сделать:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .