Heute wurde ich bei einer Google-Suche aufgrund verdächtiger Suchaktivitäten aufgefordert, ein CAPTCHA zu verwenden. Daher nahm ich an, dass entweder ein PC in meinem Netzwerk einen Virus oder etwas Ähnliches hatte.
Nachdem ich ein wenig herumgestöbert hatte, fiel mir in den Protokollen meines Routers auf, dass es unzählige Verbindungen zu meinem Raspberry Pi gab, den ich als Webserver eingerichtet hatte – die Ports wurden auf 80 und 22 weitergeleitet – also zog ich die Karte heraus, schaltete die Portweiterleitung aus und erstellte ein neues Image, diesmal als „Honigtopf„Und die Ergebnisse sind sehr interessant
Der Honeypot meldet erfolgreiche Anmeldeversuche mit der Benutzername/Passwort-Kombination pi/ raspberryund protokolliert die IPs – diese kommen fast jede Sekunde herein – und bei einigen der IPs handelt es sich bei meiner Untersuchung vermutlich um die IP von Google.
Ich weiß also nicht, ob sie das tun, wenn es so sein soll.weißer Hut”-Zeug oder was auch immer. Es scheint, als wäre das ein illegaler Eingriff. Sie tun nichts, nachdem sie sich angemeldet haben.
Hier ist eine Beispiel-IP-Adresse:23.236.57.199
Antwort1
Ich weiß also nicht, ob sie das tun, wenn es so sein soll.weißer Hut”-Zeug oder was auch immer. Es scheint, als wäre das ein illegaler Eingriff. Sie tun nichts, nachdem sie sich angemeldet haben.
Sie gehen davon aus, dass Google selbst Ihren Server „angreift“, obwohl Google in Wirklichkeit auch Webhosting- und Anwendungshosting-Dienste für fast jeden anbietet, der dafür bezahlt. Ein Benutzer, der diese Dienste nutzt, könnte also ein Skript/Programm installiert haben, das das „Hacking“ durchführt.
EineReverse DNS Record (PTR) Suche auf23.236.57.199bestätigt diese Idee weiter:
199.57.236.23.bc.googleusercontent.com
Sie können dies selbst über die Befehlszeile in Mac OS X oder Linux wie folgt überprüfen:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
Und das Ergebnis, das ich von der Befehlszeile in Mac OS X 10.9.5 (Mavericks) erhalte, ist:
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
Oder Sie verwenden einfach +shortdie folgende Antwort, um wirklich nur die Kernantwort zu erhalten:
dig -x 23.236.57.199 +short
Das Ergebnis wäre:
199.57.236.23.bc.googleusercontent.com.
Der Basisdomänenname von googleusercontent.comist eindeutig das, was er verspricht: „Google User Content“, von dem bekannt ist, dass er mit demGoogle App Engine „Platform as a Service“-Produkt. Und das ermöglicht jedem Benutzer, Code in Python-, Java-, PHP- und Go-Anwendungen zu erstellen und für seinen Dienst bereitzustellen.
Wenn Sie der Meinung sind, dass diese Zugriffe böswillig sind, können SieMelden Sie einen mutmaßlichen Missbrauch direkt über diese Seite an Google.. Denken Sie unbedingt daran, Ihre Rohprotokolldaten beizufügen, damit die Google-Mitarbeiter genau sehen können, was Sie sehen.
Vorbei an all dem,diese Stack Overflow-Antwort erklärtwie man eine Liste der mit dem Domänennamen verknüpften IP-Adressen erhält googleusercontent.com. Könnte nützlich sein, wenn Sie Zugriffe auf „Google User Content“ von anderen Systemzugriffen filtern möchten.
Antwort2
Die folgenden mit dem Befehl erhaltenen Informationen whois 23.236.57.199erklären, was Sie tun müssen:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk ([email protected]). Complaints sent to
Comment: any other POC will be ignored.