Cosa fai se vieni violato da qualcosa proveniente da un indirizzo IP apparentemente legittimo come quello di Google?

Prima di oggi mi è stato chiesto di utilizzare un CAPTCHA, a causa di un'attività di ricerca sospetta, durante una ricerca su Google, quindi ho pensato che un PC sulla mia rete avesse un virus o qualcosa del genere.

Dopo aver frugato ho notato, dai registri del mio router, che c'erano tonnellate di connessioni al mio Raspberry Pi che avevo impostato come server Web, la porta inoltrata a 80 e 22, quindi ho estratto la scheda, disattivata la porta e questa volta è stata ri-immaginata come una " pentola di miele " e i risultati sono molto interessanti

Il vaso di miele sta segnalando che ci sono tentativi riusciti di accedere con la combinazione nome utente / passaggio pi/ raspberrye registra gli IP - questi arrivano quasi ogni secondo - e alcuni degli IP quando indagherò dovrebbero essere l'IP di Google.

Quindi non lo so, lo stanno facendo, se si suppone roba da “ cappello bianco ”, o altro. Sembra che sia un'intrusione illegale. Non stanno facendo nulla dopo aver effettuato l'accesso.

Ecco un esempio di indirizzo IP: 23.236.57.199

Quindi non lo so, lo stanno facendo, se si suppone roba da “ cappello bianco ”, o altro. Sembra che sia un'intrusione illegale. Non stanno facendo nulla dopo aver effettuato l'accesso.

Supponete che Google stesso stia "attaccando" il vostro server, quando la realtà è che Google fornisce anche servizi di web hosting e hosting di applicazioni a quasi tutti coloro che pagano per usarli. Quindi un utente che utilizza quei servizi potrebbe avere uno script / programma in atto che sta facendo "l'hacking".

Effettuare una ricerca del record DNS inverso (PTR) su23.236.57.199 conferma ulteriormente questa idea:

199.57.236.23.bc.googleusercontent.com

Puoi verificarlo, da solo, dalla riga di comando in Mac OS X o Linux in questo modo:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

E il risultato che ottengo dalla riga di comando in Mac OS X 10.9.5 (Mavericks) è:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Oppure potresti usare solo +shortper ottenere davvero solo la risposta di risposta principale in questo modo:

dig -x 23.236.57.199 +short

Che ritornerebbe:

199.57.236.23.bc.googleusercontent.com.

Il nome di dominio di base di googleusercontent.comchiaramente è ciò che dice che è, "Contenuto utente di Google" che è noto per essere collegato al prodotto "Platform as a Service" di Google App Engine . Ciò consente a qualsiasi utente di creare e distribuire codice in applicazioni Python, Java, PHP & Go al proprio servizio.

Se ritieni che questi accessi siano dannosi, puoi segnalare a Google sospetti abusi direttamente tramite questa pagina . Assicurati di includere i dati di registro non elaborati in modo che il personale di Google possa vedere esattamente quello che stai vedendo.

Oltre a ciò, questa risposta Stack Overflow spiega come ottenere un elenco di indirizzi IP collegati al googleusercontent.comnome di dominio. Potrebbe essere utile se si desidera filtrare gli accessi "Contenuto utente Google" da accessi di altri sistemi.

Le seguenti informazioni ottenute utilizzando il comando whois 23.236.57.199spiegano cosa è necessario fare:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.