Hoje cedo fui solicitado a usar um CAPTCHA – devido a atividades de pesquisa suspeitas – ao fazer uma pesquisa no Google. Então presumi que um PC na minha rede tinha um vírus ou algo assim.
Depois de dar uma olhada, percebi - pelos registros do meu roteador - que havia toneladas de conexões com meu Raspberry Pi que eu havia configurado como um servidor web - porta encaminhada para 80 e 22 - então puxei o cartão, desliguei aquela porta e re-imaginei desta vez como um “pote de mel” e os resultados são muito interessantes
O pote de mel está relatando que há tentativas bem-sucedidas de fazer login com a combinação de nome de usuário/senha pi/ raspberrye registra os IPs - eles chegam quase a cada segundo - e alguns dos IPs quando investigo deveriam ser IP do Google.
Então eu não sei, eles estão fazendo, se é que é suposto “chapéu branco”Coisas, ou algo assim. Parece que isso é uma intrusão ilegal. Eles não estão fazendo nada depois de fazer login.
Aqui está um exemplo de endereço IP:23.236.57.199
Responder1
Então eu não sei, eles estão fazendo, se é que é suposto “chapéu branco”Coisas, ou algo assim. Parece que isso é uma intrusão ilegal. Eles não estão fazendo nada depois de fazer login.
Você está assumindo que o próprio Google está “atacando” seu servidor, quando a realidade é que o Google também fornece hospedagem na web e serviços de hospedagem de aplicativos para quase todas as pessoas que pagam para usá-los. Portanto, um usuário que usa esses serviços pode ter um script/programa instalado que está fazendo o “hackeamento”.
Fazendo umpesquisa de registro DNS reverso (PTR) em23.236.57.199confirma ainda mais esta ideia:
199.57.236.23.bc.googleusercontent.com
Você pode verificar isso por conta própria na linha de comando do Mac OS X ou Linux assim:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
E o resultado que obtenho na linha de comando no Mac OS X 10.9.5 (Mavericks) é:
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
Ou você pode usar apenas +shortpara realmente obter apenas a resposta principal como esta:
dig -x 23.236.57.199 +short
O que retornaria:
199.57.236.23.bc.googleusercontent.com.
O nome de domínio base googleusercontent.comé claramente o que diz ser, “Conteúdo do usuário do Google”, que é conhecido por estar conectado aoProduto “Plataforma como serviço” do Google App Engine. E isso permite que qualquer usuário crie e implante código em aplicativos Python, Java, PHP e Go ao seu serviço.
Se você acha que esses acessos são maliciosos, você podedenunciar suspeitas de abuso ao Google diretamente por meio desta página. Certifique-se de incluir seus dados brutos de registro para que a equipe do Google possa ver exatamente o que você está vendo.
Além de tudo isso,esta resposta do Stack Overflow explicacomo obter uma lista de endereços IP conectados ao googleusercontent.comnome de domínio. Pode ser útil se você deseja filtrar acessos de “Conteúdo de usuário do Google” de outros acessos do sistema.
Responder2
As seguintes informações obtidas usando o comando whois 23.236.57.199explicam o que você precisa fazer:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk ([email protected]). Complaints sent to
Comment: any other POC will be ignored.