今天早些时候,当我进行 Google 搜索时,由于存在可疑的搜索活动,系统提示我使用 CAPTCHA,因此我认为我的网络上的一台 PC 感染了病毒或其他问题。
在仔细查看后,我从路由器日志中发现,有大量连接到我已设置为 Web 服务器的 Raspberry Pi 的连接(端口转发到 80 和 22),因此我拔下卡,关闭该端口转发,并重新将其映像为“蜜罐”结果非常有趣
pi蜜罐报告称,使用用户名/密码组合/尝试登录成功raspberry,并记录 IP — — 这些 IP 几乎每秒都在增加 — — 而我调查时发现其中一些 IP 应该是 Google 的 IP。
所以我不知道,他们是否在做,如果应该“白帽”之类的东西。这似乎是非法入侵。他们登录后什么也没做。
以下是示例 IP 地址:23.236.57.199
答案1
所以我不知道,他们是否在做,如果应该“白帽”之类的东西。这似乎是非法入侵。他们登录后什么也没做。
你以为 Google 自己在“攻击”你的服务器,但事实是 Google 还向大多数付费用户提供网站托管和应用程序托管服务。因此,使用这些服务的用户可能拥有执行“黑客攻击”的脚本/程序。
做一个反向 DNS 记录 (PTR) 查找23.236.57.199进一步证实了这个想法:
199.57.236.23.bc.googleusercontent.com
您可以从 Mac OS X 或 Linux 中的命令行自行检查,如下所示:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
我从 Mac OS X 10.9.5 (Mavericks) 的命令行获得的结果是:
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
或者你也可以使用 just+short来真正获得核心响应答案,如下所示:
dig -x 23.236.57.199 +short
这将返回:
199.57.236.23.bc.googleusercontent.com.
的基本域名googleusercontent.com显然是“Google 用户内容”,众所周知,它与Google App Engine“平台即服务”产品。这允许任何用户创建 Python、Java、PHP 和 Go 应用程序代码并将其部署到他们的服务中。
如果您认为这些访问是恶意的,您可以通过此页面直接向 Google 报告疑似滥用行为。请务必包含您的原始日志数据,以便 Google 员工能够准确看到您所看到的内容。
除此之外,这个 Stack Overflow 答案解释道如何获取与域名关联的 IP 地址列表googleusercontent.com。如果您想要过滤来自其他系统访问的“Google 用户内容”访问,这可能会很有用。
答案2
使用该命令获取的以下信息whois 23.236.57.199解释了您需要做什么:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk ([email protected]). Complaints sent to
Comment: any other POC will be ignored.