Ранее сегодня мне предложили использовать CAPTCHA — из-за подозрительной поисковой активности — при выполнении поиска в Google, поэтому я предположил, что либо на одном из компьютеров в моей сети есть вирус, либо что-то в этом роде.
Покопавшись, я заметил — в журналах моего маршрутизатора — что к моему Raspberry Pi, который я настроил как веб-сервер, было множество подключений — порты были перенаправлены на 80 и 22 — поэтому я вытащил карту, отключил перенаправление этого порта и перенастроил его на этот раз как «горшок меда” и результаты очень интересные
Honey Pot сообщает об успешных попытках входа в систему с использованием комбинации имени пользователя и пароля pi/ raspberryи регистрирует IP-адреса (они поступают почти каждую секунду), и некоторые из IP-адресов, которые я расследую, предположительно являются IP-адресами Google.
Так что я не знаю, делают ли они это, если это предполагается.белая шляпа"что-то вроде того. Похоже, это незаконное вторжение. Они ничего не делают после того, как входят в систему.
Вот пример IP-адреса:23.236.57.199
решение1
Так что я не знаю, делают ли они это, если это предполагается.белая шляпа"что-то вроде того. Похоже, это незаконное вторжение. Они ничего не делают после того, как входят в систему.
Вы предполагаете, что Google сами «атакуют» ваш сервер, когда в реальности Google также предоставляет услуги веб-хостинга и хостинга приложений большинству тех, кто платит за их использование. Таким образом, пользователь, использующий эти услуги, может иметь скрипт/программу, которая выполняет «взлом».
Делаяобратный поиск записи DNS (PTR) на23.236.57.199еще раз подтверждает эту идею:
199.57.236.23.bc.googleusercontent.com
Вы можете проверить это самостоятельно из командной строки в Mac OS X или Linux следующим образом:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
И вот какой результат я получаю из командной строки в Mac OS X 10.9.5 (Mavericks):
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
Или вы можете использовать только +shortосновной ответ, например, так:
dig -x 23.236.57.199 +short
Что вернет:
199.57.236.23.bc.googleusercontent.com.
Базовое доменное имя, googleusercontent.comочевидно, соответствует тому, что оно и означает, «Google User Content», которое, как известно, связано сПродукт Google App Engine «Платформа как услуга». И это позволяет любому пользователю создавать и развертывать код в приложениях Python, Java, PHP и Go в своих сервисах.
Если вы считаете, что эти доступы являются вредоносными, вы можетесообщите о предполагаемом злоупотреблении в Google напрямую через эту страницу. Обязательно включите необработанные данные журнала, чтобы сотрудники Google могли видеть именно то, что видите вы.
Прошлое всего этого,этот ответ Stack Overflow объясняеткак можно получить список IP-адресов, связанных с googleusercontent.comдоменным именем. Может быть полезно, если вы хотите отфильтровать доступы «Google User Content» от других системных доступов.
решение2
Следующая информация, полученная с помощью команды, whois 23.236.57.199поясняет, что вам нужно сделать:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk ([email protected]). Complaints sent to
Comment: any other POC will be ignored.