Hoy me pidieron que usara un CAPTCHA (debido a una actividad de búsqueda sospechosa) al hacer una búsqueda en Google, así que supuse que una PC en mi red tenía un virus o algo así.
Después de husmear, noté, a partir de los registros de mi enrutador, que había toneladas de conexiones a mi Raspberry Pi que había configurado como servidor web (puerto reenviado a 80 y 22), así que saqué la tarjeta, apagué ese puerto y Lo reimaginé esta vez como un "tarro de miel”y los resultados son muy interesantes
El Honey Pot informa que hay intentos exitosos de iniciar sesión con la combinación de nombre de usuario/contraseña pi/ raspberryy registra las IP (estas llegan casi cada segundo) y algunas de las IP cuando investigo se supone que son la IP de Google.
Entonces no sé, lo están haciendo, si se supone”sombrero blanco”cosas, o lo que sea. Parece que se trata de una intrusión ilegal. No hacen nada después de iniciar sesión.
A continuación se muestra una dirección IP de ejemplo:23.236.57.199
Respuesta1
Entonces no sé, lo están haciendo, si se supone”sombrero blanco”cosas, o lo que sea. Parece que se trata de una intrusión ilegal. No hacen nada después de iniciar sesión.
Usted está asumiendo que Google está "atacando" su servidor, cuando la realidad es que Google también proporciona servicios de alojamiento web y de alojamiento de aplicaciones a casi cualquier persona que pague por usarlos. Por lo tanto, un usuario que utilice esos servicios podría tener un script/programa implementado que esté realizando el "pirateo".
haciendo unBúsqueda inversa de registros DNS (PTR) en23.236.57.199confirma aún más esta idea:
199.57.236.23.bc.googleusercontent.com
Puedes verificar esto (por tu cuenta) desde la línea de comando en Mac OS X o Linux de esta manera:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
Y el resultado que obtengo de la línea de comando en Mac OS X 10.9.5 (Mavericks) es:
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
O podría usar just +shortpara obtener realmente solo la respuesta principal como esta:
dig -x 23.236.57.199 +short
Que devolvería:
199.57.236.23.bc.googleusercontent.com.
El nombre de dominio base googleusercontent.comes claramente lo que dice ser, "Contenido de usuario de Google", que se sabe que está conectado alProducto “Plataforma como servicio” de Google App Engine. Y eso permite a cualquier usuario crear e implementar código en aplicaciones Python, Java, PHP & Go para su servicio.
Si cree que estos accesos son maliciosos, puedeinformar sospechas de abuso a Google directamente a través de esta página. Asegúrese de incluir sus datos de registro sin procesar para que el personal de Google pueda ver exactamente lo que está viendo.
Más allá de todo eso,esta respuesta de Stack Overflow explica¿Cómo se puede obtener una lista de direcciones IP conectadas al googleusercontent.comnombre de dominio? Podría resultar útil si desea filtrar los accesos al “Contenido de usuario de Google” de otros accesos al sistema.
Respuesta2
La siguiente información obtenida utilizando el comando whois 23.236.57.199explica lo que debe hacer:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk ([email protected]). Complaints sent to
Comment: any other POC will be ignored.