Googleなどの正当なIPアドレスから送信されたものによってハッキングされている場合はどうしますか?

55

今日、Google検索を実行するときに、疑わしい検索アクティビティのためにCAPTCHAを使用するように求められたので、ネットワーク上のPCにウイルスまたは何かがあると思いました。

ルーターログから、Webサーバーとして設定したRaspberry Piへの接続が大量にあることに気付きました。ポートが80と22に転送されたため、カードを引き出し、そのポートをオフにして、今回は「ハニーポット」としてそれを再イメージし、結果は非常に興味深いです

ハニーポットは、ユーザー名/パスの組み合わせpi/ raspberryでログインに成功したことを報告しており、IPを記録します- これらはほぼ毎秒来ています-私が調査したIPの一部はGoogleのIPであるはずです。

だから、彼らがやっているのか、それが「白い帽子」のようなものだと思われるのか、私は知りません。それは違法な侵入のようです。ログイン後は何もしていません。

IPアドレスの例を次に示します。 23.236.57.199

security  honeypot 
グレイディプレーヤー
ソース
17
これを見てください、特にコメント:whois.domaintools.com/23.236.57.1​​99
カンタス航空94ヘビー
5
デバイスを適切に保護すれば、これは関係ありません。これは実際には質問に対する答えです。デバイスを保護します。
usr
1
焦点は、あなたが攻撃されている知っていれば、むしろそれを防ぐ方法よりも、何をするかですので...私は多くの場所...文書化されていると考えている私は、最後の編集をロールバック
グラディプレーヤー
pi/raspberryハニーポット以外の組み合わせでこの組み合わせを使用しないでください。外部からアクセスできるようにすると、それよりまともなものが必要になります。
@mast piはハニーポットのみです。いくつかの点で私は、ログをプル新しいIPを取得し、再イメージそれだろう
グラディプレーヤー

回答:

62

だから、彼らがやっているのか、それが「白い帽子」のようなものだと思われるのか、私は知りません。それは違法な侵入のようです。ログイン後は何もしていません。

Googleが実際にサーバーを「攻撃」していると想定しているのは、GoogleがWebホスティングおよびアプリケーションホスティングサービスを、それらの使用にお金を払うほとんどの人に提供している場合です。そのため、これらのサービスを使用しているユーザーは、「ハッキング」を行うスクリプト/プログラムを用意できます。

DNS23.236.57.199逆引き(PTR)ルックアップを実行すると、この考えがさらに確認されます。

199.57.236.23.bc.googleusercontent.com

これは、Mac OS XまたはLinuxのコマンドラインから次のように自分で確認できます。

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

そして、Mac OS X 10.9.5(Mavericks)のコマンドラインから得られる結果は次のとおりです。

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

または、次の+shortようなコアレスポンスの回答のみを取得するために使用することもできます。

dig -x 23.236.57.199 +short

どちらが返されます:

199.57.236.23.bc.googleusercontent.com.

の基本ドメイン名はgoogleusercontent.com明らかに、Google App Engineの「サービスとしてのプラットフォーム」製品に接続されていることが知られている「Googleユーザーコンテンツ」です。そして、それにより、すべてのユーザーがPython、Java、PHP&Goアプリケーションのコードを作成してサービスにデプロイできます。

これらのアクセスが悪意があると思われる場合は、このページから直接、不正行為の疑いをGoogleに報告できます。Googleのスタッフがあなたが見ているものを正確に見ることができるように、生のログデータを必ず含めてください。

それを超えて、このStack Overflowの回答はgoogleusercontent.comドメイン名に接続されたIPアドレスのリストを取得する方法を説明しています。「Googleユーザーコンテンツ」アクセスを他のシステムアクセスからフィルタリングする場合に役立ちます。

ジェイクグールド
ソース
39

このコマンドを使用して取得した次の情報whois 23.236.57.199は、何をする必要があるかを説明しています。

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.
カスパード
ソース
3
簡潔さのために賛成。
bbaassssiiee
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.