it-swarm.com.de

Was tun Sie, wenn Sie von einer vermeintlich legitimen IP-Adresse wie Google gehackt werden?

Früher wurde ich heute wegen verdächtiger Suchaktivitäten aufgefordert, ein CAPTCHA zu verwenden, wenn ich eine Google-Suche durchführe. Daher nahm ich an, dass auf einem PC in meinem Netzwerk ein Virus oder etwas anderes vorhanden ist.

Nach dem Stöbern bemerkte ich in meinen Router-Protokollen, dass es Unmengen von Verbindungen zu meinem Raspberry Pi gab, den ich als Webserver eingerichtet hatte - Port weitergeleitet auf 80 und 22 -, also zog ich die Karte heraus, schaltete diesen Port weiter und aus stellte es dieses Mal als " Honigtopf " wieder her und die Ergebnisse sind sehr interessant

Der Honey Pot meldet, dass es erfolgreiche Anmeldeversuche mit der Kombination aus Benutzername und Passwort pi/raspberry gibt, und protokolliert die IP-Adressen - diese kommen fast jede Sekunde - und einige der IP-Adressen, die ich untersuche, sollen die IP-Adressen von Google sein .

Ich weiß also nicht, ob es sich um " weiße Hüte " handelt oder was auch immer. Es scheint so, als wäre das eine illegale Einmischung. Sie tun nichts, nachdem sie sich angemeldet haben.

Hier ist ein Beispiel für eine IP-Adresse: 23.236.57.199

55
Grady Player

Ich weiß also nicht, ob es sich um " white hat " Zeug handelt oder was auch immer. Es scheint so, als wäre das eine illegale Einmischung. Sie tun nichts, nachdem sie sich angemeldet haben.

Sie gehen davon aus, dass Google selbst Ihren Server "angreift", obwohl Google in der Realität auch Webhosting- und Anwendungshosting-Dienste für die meisten Benutzer bereitstellt, die für deren Nutzung zahlen. Ein Benutzer, der diese Dienste nutzt, könnte also ein Skript/Programm haben, das das "Hacken" ausführt.

Das Durchführen eines Reverse-DNS-Record-Lookups (PTR-Lookups) für 23.236.57.199 bestätigt diese Idee weiter:

199.57.236.23.bc.googleusercontent.com

Sie können dies von der Befehlszeile in Mac OS X oder Linux aus wie folgt überprüfen:

Dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Und das Ergebnis, das ich von der Befehlszeile in Mac OS X 10.9.5 (Mavericks) erhalte, ist:

; <<>> Dig 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Oder Sie können nur +short verwenden, um wirklich nur die Kernantwort zu erhalten:

Dig -x 23.236.57.199 +short

Welches würde zurückkehren:

199.57.236.23.bc.googleusercontent.com.

Der Basis-Domain-Name von googleusercontent.com ist eindeutig das, was er angibt, "Google User Content", der bekanntermaßen mit dem Google App Engine-Produkt "Platform as a Service" verbunden ist . Auf diese Weise kann jeder Benutzer Code in Python-, Java-, PHP & Go-Anwendungen erstellen und für seine Dienste bereitstellen.

Wenn Sie der Meinung sind, dass diese Zugriffe böswillig sind, können Sie vermuteten Missbrauch direkt über diese Seite an Google melden . Stellen Sie sicher, dass Sie Ihre Rohprotokolldaten angeben, damit die Google-Mitarbeiter genau sehen können, was Sie sehen.

Nach alledem erklärt diese Stack Overflow-Antwort , wie man eine Liste von IP-Adressen abrufen kann, die mit dem Domänennamen googleusercontent.com verbunden sind. Dies kann hilfreich sein, wenn Sie Zugriffe auf "Google User Content" von anderen Systemzugriffen filtern möchten.

62
JakeGould

Die folgenden Informationen, die Sie mit dem Befehl whois 23.236.57.199 erhalten haben, erklären, was Sie tun müssen:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.
39
kasperd