Co robisz, jeśli jesteś atakowany przez coś, co pochodzi z rzekomo legalnego adresu IP, takiego jak Google?

55

Wcześniej dzisiaj zostałem poproszony o użycie CAPTCHA - z powodu podejrzanej aktywności wyszukiwania - podczas wyszukiwania Google, więc założyłem, że albo komputer w mojej sieci ma wirusa lub coś takiego.

Po przeszukaniu zauważyłem - z dzienników routera - że było mnóstwo połączeń z moim Raspberry Pi, które skonfigurowałem jako serwer WWW - port przekierowany na 80 i 22 - więc wyciągnąłem kartę, wyłączyłem ten port do przodu i tym razem ponownie zobrazowałem to jako „ garnek miodu ”, a wyniki są bardzo interesujące

Doniczka z miodem donosi, że istnieją udane próby zalogowania się za pomocą kombinacji nazwa użytkownika / hasło pi/ raspberry, i rejestruje adresy IP - nadchodzą one prawie co sekundę - a niektóre adresy IP, gdy badam, powinny być adresami IP Google.

Więc nie wiem, czy oni robią, czy to ma być coś w stylu „ białego kapelusza ” czy coś w tym rodzaju. Wygląda na to, że jest to nielegalna ingerencja. Nic nie robią po zalogowaniu.

Oto przykładowy adres IP: 23.236.57.199

Grady Player
źródło
17
Spójrz na to, a konkretnie na komentarz: whois.domaintools.com/23.236.57.199
Qantas 94 Heavy
5
Jeśli odpowiednio zabezpieczysz urządzenie, nie powinno cię to dotyczyć. To właściwie jest odpowiedź na pytanie: co robić? Zabezpiecz urządzenie.
usr
1
Cofnąłem ostatnią edycję, ponieważ skupiono się na tym, co zrobić, jeśli wiesz, że jesteś atakowany, a nie jak temu zapobiec ... co, jak sądzę, jest udokumentowane w wielu miejscach ...
Grady Gracz
Mam nadzieję, że nie używasz tej pi/raspberrykombinacji na niczym innym niż plaster miodu. W momencie, gdy uczynisz go dostępnym z zewnątrz, powinno być coś bardziej przyzwoitego.
@mast pi jest tylko honeypot; w pewnym momencie po prostu wyciągnę dzienniki, uzyskam nowy adres IP i ponownie go
zobrazuję

Odpowiedzi:

62

Więc nie wiem, czy oni robią, czy to ma być coś w stylu „ białego kapelusza ” czy coś w tym rodzaju. Wygląda na to, że jest to nielegalna ingerencja. Nic nie robią po zalogowaniu.

Zakładasz, że sami Google „atakują” Twój serwer, podczas gdy w rzeczywistości Google zapewnia również hosting stron internetowych i usługi hostingu aplikacji dla większości osób, które płacą za ich używanie. Tak więc użytkownik korzystający z tych usług może mieć skrypt / program, który wykonuje „hakowanie”.

Wykonanie wyszukiwania wstecznego rekordu DNS (PTR)23.236.57.199 dalej potwierdza ten pomysł:

199.57.236.23.bc.googleusercontent.com

Możesz to sprawdzić - samodzielnie - z wiersza poleceń w systemie Mac OS X lub Linux w następujący sposób:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

A wynik, który otrzymuję z wiersza poleceń w Mac OS X 10.9.5 (Mavericks) to:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Lub możesz użyć tylko, +shortaby naprawdę uzyskać tylko podstawową odpowiedź w następujący sposób:

dig -x 23.236.57.199 +short

Które zwróci:

199.57.236.23.bc.googleusercontent.com.

Podstawową nazwą domeny googleusercontent.comjest to, co mówi, że jest „Treścią użytkownika Google”, o której wiadomo, że jest połączone z produktem Google Platform Engine „Platforma jako usługa” . Pozwala to każdemu użytkownikowi na tworzenie i wdrażanie kodu w aplikacjach Python, Java, PHP i Go.

Jeśli uważasz, że dostęp jest złośliwy, możesz zgłosić podejrzenie nadużycia bezpośrednio w Google za pośrednictwem tej strony . Pamiętaj, aby podać nieprzetworzone dane dziennika, aby pracownicy Google mogli zobaczyć dokładnie to, co widzisz.

Niezależnie od tego, ta odpowiedź przepełnienia stosu wyjaśnia, w jaki sposób można uzyskać listę adresów IP podłączonych do googleusercontent.comnazwy domeny. Może być przydatny, jeśli chcesz odfiltrować dostęp „Treści użytkownika Google” z innych dostępów systemowych.

JakeGould
źródło
39

Poniższe informacje uzyskane za pomocą polecenia whois 23.236.57.199wyjaśniają, co należy zrobić:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.
kasperd
źródło
3
Wybitny za zwięzłość.
bbaassssiiee