Що ви робите, якщо вас зламує щось із імовірно законної IP-адреси, наприклад від Google?

Раніше сьогодні мені було запропоновано використовувати CAPTCHA - через підозрілу пошукову діяльність - під час пошуку в Google, тож я припустив, що або на ПК в моїй мережі є вірус, або щось подібне.

Після обмикання я помітив - з моїх журналів маршрутизаторів - що було багато з’єднань з моїм Raspberry Pi, який я встановив як веб-сервер - порт, пересланий на 80 і 22 - тому я витягнув картку, вимкнув цей порт вперед і цього разу повторно уявив це як « медовий горщик », і результати дуже цікаві

Медовий горщик повідомляє, що є вдалі спроби увійти за допомогою комбінації імені користувача / пароля pi/ raspberry, а також реєстрація IP-адрес - вони надходять майже щосекунди - а деякі ІР-адреси, коли я досліджую, повинні бути IP-адресами Google.

Тож я не знаю, чи роблять вони це, якщо це передбачається " біла шапка ", чи що завгодно. Схоже, це незаконне вторгнення. Після входу вони нічого не роблять.

Ось приклад IP-адреси: 23.236.57.199

Тож я не знаю, чи роблять вони це, якщо це передбачається " біла шапка ", чи що завгодно. Схоже, це незаконне вторгнення. Після входу вони нічого не роблять.

Ви припускаєте, що Google самі "атакують" ваш сервер, коли реально Google також надає послуги веб-хостингу та хостингу додатків для більшості тих, хто платить за їх використання. Таким чином, користувач, що користується цими сервісами, міг би створити сценарій / програму, яка робить "злом".

Виконання зворотного DNS записи (ПТР) пошук по23.236.57.199 ще раз підтверджую цю ідею:

199.57.236.23.bc.googleusercontent.com

Ви можете перевірити це самостійно з командного рядка в Mac OS X або Linux так:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

І результат, який я отримую з командного рядка в Mac OS X 10.9.5 (Mavericks):

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Або ви могли використати просто +shortдля того, щоб отримати лише відповідь основної відповіді, як це:

dig -x 23.236.57.199 +short

Що поверне:

199.57.236.23.bc.googleusercontent.com.

Очевидно, що базове доменне ім'я googleusercontent.com- це "Вміст користувача Google", який, як відомо, пов'язаний з продуктом Google "Платформа як послуга" . І це дозволяє будь-якому користувачеві створювати та розгортати код у додатках Python, Java, PHP & Go до своїх служб.

Якщо ви вважаєте, що цей доступ є шкідливим, ви можете повідомити Google про підозру в зловживанні безпосередньо через цю сторінку . Не забудьте включити свої необроблені дані журналу, щоб співробітники Google могли бачити саме те, що ви бачите.

Минулого цього відповіді на переповнення стека пояснюється, як можна піти про отримання списку IP-адрес, підключених до googleusercontent.comдоменного імені. Може бути корисним, якщо ви хочете відфільтрувати доступ до "Вмісту користувача Google" з іншого доступу до системи.

Наступна інформація, отримана за допомогою команди, whois 23.236.57.199пояснює, що вам потрібно зробити:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.