如果您遭到来自所谓合法 IP 地址(例如 Google)的攻击,您会怎么做?

如果您遭到来自所谓合法 IP 地址(例如 Google)的攻击,您会怎么做?

今天早些时候,当我进行 Google 搜索时,由于存在可疑的搜索活动,系统提示我使用 CAPTCHA,因此我认为我的网络上的一台 PC 感染了病毒或其他问题。

在仔细查看后,我从路由器日志中发现,有大量连接到我已设置为 Web 服务器的 Raspberry Pi 的连接(端口转发到 80 和 22),因此我拔下卡,关闭该端口转发,并重新将其映像为“蜜罐”结果非常有趣

pi蜜罐报告称,使用用户名/密码组合/尝试登录成功raspberry,并记录 IP — — 这些 IP 几乎每秒都在增加 — — 而我调查时发现其中一些 IP 应该是 Google 的 IP。

所以我不知道,他们是否在做,如果应该“白帽”之类的东西。这似乎是非法入侵。他们登录后什么也没做。

以下是示例 IP 地址:23.236.57.199

答案1

所以我不知道,他们是否在做,如果应该“白帽”之类的东西。这似乎是非法入侵。他们登录后什么也没做。

你以为 Google 自己在“攻击”你的服务器,但事实是 Google 还向大多数付费用户提供网站托管和应用程序托管服务。因此,使用这些服务的用户可能拥有执行“黑客攻击”的脚本/程序。

做一个反向 DNS 记录 (PTR) 查找23.236.57.199进一步证实了这个想法:

199.57.236.23.bc.googleusercontent.com

您可以从 Mac OS X 或 Linux 中的命令行自行检查,如下所示:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

我从 Mac OS X 10.9.5 (Mavericks) 的命令行获得的结果是:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

或者你也可以使用 just+short来真正获得核心响应答案,如下所示:

dig -x 23.236.57.199 +short

这将返回:

199.57.236.23.bc.googleusercontent.com.

的基本域名googleusercontent.com显然是“Google 用户内容”,众所周知,它与Google App Engine“平台即服务”产品。这允许任何用户创建 Python、Java、PHP 和 Go 应用程序代码并将其部署到他们的服务中。

如果您认为这些访问是恶意的,您可以通过此页面直接向 Google 报告疑似滥用行为。请务必包含您的原始日志数据,以便 Google 员工能够准确看到您所看到的内容。

除此之外,这个 Stack Overflow 答案解释道如何获取与域名关联的 IP 地址列表googleusercontent.com。如果您想要过滤来自其他系统访问的“Google 用户内容”访问,这可能会很有用。

答案2

使用该命令获取的以下信息whois 23.236.57.199解释了您需要做什么:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.

相关内容