今天早些時候,由於可疑的搜尋活動,我在進行 Google 搜尋時被提示使用驗證碼,因此我認為我的網路上的 PC 感染了病毒或其他東西。
經過一番研究後,我從路由器日誌中註意到,有大量與我設定為Web 伺服器的Raspberry Pi 的連接(連接埠轉發到80 和22),所以我拔出了該卡,關閉了該連接埠轉發,然後這次將其重新形象化為“蜜罐」結果非常有趣
蜜罐報告稱,使用用戶名/密碼組合pi/登入的嘗試已成功raspberry,並記錄了 IP(這些 IP 幾乎每秒都會出現),當我調查時,其中一些 IP 應該是 Google 的 IP。
所以我不知道他們是否在做,如果是的話“白帽」東西,或者其他什麼。看來這是非法入侵。他們登入後沒有執行任何操作。
下面是一個 IP 位址範例:23.236.57.199
答案1
所以我不知道他們是否在做,如果是的話“白帽」東西,或者其他什麼。看來這是非法入侵。他們登入後沒有執行任何操作。
您假設 Google 本身正在「攻擊」您的伺服器,但事實是 Google 也向大多數付費使用它們的人提供網站寄存和應用程式託管服務。因此,使用這些服務的使用者可以有一個腳本/程式來進行「駭客攻擊」。
做一個反向 DNS 記錄 (PTR) 查找23.236.57.199進一步證實了這個想法:
199.57.236.23.bc.googleusercontent.com
您可以透過 Mac OS X 或 Linux 中的命令列自行檢查,如下所示:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
我從 Mac OS X 10.9.5 (Mavericks) 的命令列得到的結果是:
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
或者您可以使用它+short來真正獲得核心回應答案,如下所示:
dig -x 23.236.57.199 +short
這將返回:
199.57.236.23.bc.googleusercontent.com.
顯然,其基本域名googleusercontent.com正如其所言,“Google 用戶內容”,已知與Google App Engine「平台即服務」產品。這允許任何使用者在 Python、Java、PHP 和 Go 應用程式中建立程式碼並將其部署到他們的服務中。
如果您認為這些訪問是惡意的,您可以透過此頁面直接向 Google 報告涉嫌濫用行為。請務必包含您的原始日誌數據,以便 Google 工作人員可以準確地看到您所看到的內容。
過去任何一個,這個 Stack Overflow 答案解釋了如何取得與googleusercontent.com網域名稱相關的 IP 位址清單。如果您想從其他系統訪問中過濾“Google 用戶內容”訪問,這可能會很有用。
答案2
使用該命令獲得的以下資訊whois 23.236.57.199解釋了您需要執行的操作:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk ([email protected]). Complaints sent to
Comment: any other POC will be ignored.