Was tun Sie, wenn Sie von etwas gehackt werden, das von einer angeblich legitimen IP-Adresse wie Google stammt?

Question

Was tun Sie, wenn Sie von etwas gehackt werden, das von einer angeblich legitimen IP-Adresse wie Google stammt?

Früher wurde ich heute aufgefordert, bei einer Google-Suche ein CAPTCHA zu verwenden-wegen verdächtiger Suchaktivitäten -, Also nahm ich an, dass entweder ein PC in meinem Netzwerk einen Virus oder etwas hatte.

Nach dem Herumstochern bemerkte ich-aus meinen Router-Protokollen -, dass es Tonnen von Verbindungen zu meinem Raspberry Pi gab, die ich als Webserver eingerichtet hatte-Port weitergeleitet an 80 und 22-also zog ich die Karte, schaltete diesen Port aus vorwärts und stellte ihn diesmal als "Honigtopf " wieder her. die Ergebnisse sind sehr interessant

Der Honey Pot meldet, dass es erfolgreiche Versuche gibt, sich mit der Kombination Benutzername/Passwort anzumelden pi/raspberry, und protokolliert die IP 's-diese kommen in fast jeder Sekunde-und einige der IP' s, wenn ich nachforsche, sollen Googles IP sein.

Also ich weiß nicht, tun sie, wenn es "white hat" Zeug, oder was auch immer. Das scheint ein illegales Eindringen zu sein. Sie tun nichts, nachdem sie sich angemeldet haben in.

Hier ist eine Beispiel-IP-Adresse: 23.236.57.199

61

security honeypot

Author: Giacomo1968, 2015-03-22

Source

2 answers

Die folgenden Informationen, die Sie mit dem Befehl whois 23.236.57.199 erhalten, erklären, was Sie tun müssen:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.

40

Author: kasperd,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-03-22 14:42:22

score 72 · Accepted Answer

Also weiß ich nicht, was sie tun, wenn es angenommen wird " white hat" Zeug, oder was auch immer. Das scheint ein illegales Eindringen zu sein. Sie tun nichts, nachdem sie sich angemeldet haben.

Sie gehen davon aus, dass Google selbst Ihren Server" angreift", wenn die Realität ist, dass Google den meisten, die für die Nutzung bezahlen, auch Webhosting-und Anwendungshosting-Dienste anbietet. Ein Benutzer, der diese Dienste verwendet, könnte also ein Skript/Programm haben, das Folgendes ausführt "Hacker."

Eine Reverse DNS Record (PTR) Suche auf 23.236.57.199 weitere bestätigt diese Idee:

199.57.236.23.bc.googleusercontent.com

Sie können dies-auf eigene Faust-über die Befehlszeile in Mac OS X oder Linux wie folgt überprüfen:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Und das Ergebnis, das ich von der Befehlszeile in Mac OS X 10.9.5 (Mavericks) erhalte, lautet:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Oder Sie könnten nur +short, um wirklich nur die Kernantwort wie folgt zu erhalten:

dig -x 23.236.57.199 +short

Was zurückgeben würde:

199.57.236.23.bc.googleusercontent.com.

Der Basisdomänenname von googleusercontent.com ist klar, was es sagt, es ist, "Google User Content", der bekanntermaßen mit dem Produkt Google App Engine "Platform as a Service" verbunden ist. Und das ermöglicht jedem Benutzer, Code in Python -, Java -, PHP-und Go-Anwendungen für seinen Dienst zu erstellen und bereitzustellen.

Wenn Sie der Meinung sind, dass diese Zugriffe böswillig sind, können Sie [[34]}mutmaßlichen Missbrauch direkt über diese Seite an Google melden . Stellen Sie sicher, dass Sie Ihre rohen Protokolldaten angeben, damit die Google-Mitarbeiter genau sehen können, was Sie sind Anblick.

In dieser Stapelüberlaufantwort wirderläutert, wie man eine Liste von IP-Adressen abrufen kann, die mit dem Domänennamen googleusercontent.com verbunden sind. Könnte nützlich sein, wenn Sie "Google User Content" Zugriffe von anderen Systemzugriffen filtern möchten.