Apa yang Anda lakukan jika Anda diretas oleh sesuatu yang berasal dari alamat IP yang seharusnya sah seperti dari Google?

55

Sebelumnya hari ini saya diminta untuk menggunakan CAPTCHA — karena aktivitas pencarian yang mencurigakan — ketika melakukan pencarian Google, Jadi saya berasumsi bahwa PC di jaringan saya memiliki virus atau sesuatu.

Setelah mengaduk-aduk, saya perhatikan — dari log router saya — bahwa ada banyak koneksi ke Raspberry Pi yang saya setel sebagai server web — port diteruskan ke 80 dan 22 — jadi saya menarik kartunya, mematikan port itu ke depan dan dicitrakan ulang kali ini sebagai " pot madu " dan hasilnya sangat menarik

Pot madu melaporkan bahwa ada upaya yang berhasil untuk masuk dengan kombinasi nama pengguna / pass pi/ raspberry, dan mencatat IP — ini hampir setiap detik — dan beberapa IP ketika saya selidiki seharusnya IP Google.

Jadi saya tidak tahu, apa yang mereka lakukan, apakah itu seharusnya " topi putih ", atau apa pun. Sepertinya itu adalah intrusi ilegal. Mereka tidak melakukan apa-apa setelah mereka masuk.

Berikut ini contoh alamat IP: 23.236.57.199

Grady Player
sumber
17
Lihatlah ini, khususnya komentar: whois.domaintools.com/23.236.57.199
Qantas 94 Heavy
5
Jika Anda mengamankan perangkat dengan benar, ini seharusnya tidak menjadi perhatian Anda. Ini sebenarnya adalah jawaban untuk pertanyaan: Apa yang harus dilakukan? Amankan perangkat.
usr
1
Saya memutar kembali suntingan terakhir karena fokusnya adalah apa yang harus dilakukan jika Anda tahu Anda sedang diserang, daripada bagaimana mencegahnya ... yang menurut saya didokumentasikan banyak tempat ...
Grady Player
Saya harap Anda tidak menggunakan pi/raspberrykombinasi pada hal lain selain honeypot Anda. Saat Anda membuatnya dapat diakses dari luar itu harus memiliki sesuatu yang lebih baik dari itu.
@ast pi hanya honeypot; pada titik tertentu saya hanya akan menarik log, dapatkan IP baru dan gambar ulang itu
Grady Player

Jawaban:

62

Jadi saya tidak tahu, apa yang mereka lakukan, apakah itu seharusnya " topi putih ", atau apa pun. Sepertinya itu adalah intrusi ilegal. Mereka tidak melakukan apa-apa setelah mereka masuk.

Anda berasumsi Google sendiri sedang "menyerang" server Anda, padahal kenyataannya Google juga menyediakan hosting web dan layanan hosting aplikasi untuk kebanyakan orang yang membayar untuk menggunakannya. Jadi pengguna yang menggunakan layanan tersebut dapat memiliki skrip / program di tempat yang melakukan "peretasan."

Melakukan pencarian reverse record DNS (PTR) pada23.236.57.199 lebih lanjut mengkonfirmasi ide ini:

199.57.236.23.bc.googleusercontent.com

Anda dapat memeriksanya — sendiri — dari baris perintah di Mac OS X atau Linux seperti ini:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Dan hasil yang saya dapatkan dari baris perintah di Mac OS X 10.9.5 (Mavericks) adalah:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Atau Anda bisa menggunakan hanya +shortuntuk benar-benar mendapatkan jawaban inti saja seperti ini:

dig -x 23.236.57.199 +short

Yang akan kembali:

199.57.236.23.bc.googleusercontent.com.

Nama domain dasar googleusercontent.comdengan jelas adalah apa yang dikatakannya, "Konten Pengguna Google" yang dikenal terhubung ke produk Google App Engine "Platform as a Service" . Dan itu memungkinkan setiap pengguna untuk membuat dan menggunakan kode dalam aplikasi Python, Java, PHP & Go ke layanan mereka.

Jika Anda merasa akses ini berbahaya, Anda dapat melaporkan dugaan penyalahgunaan ke Google secara langsung melalui halaman ini . Pastikan untuk memasukkan data log mentah Anda sehingga staf Google dapat melihat apa yang Anda lihat.

Melewati semua itu, jawaban Stack Overflow ini menjelaskan bagaimana orang bisa mendapatkan daftar alamat IP yang terhubung ke googleusercontent.comnama domain. Dapat berguna jika Anda ingin memfilter akses "Konten Pengguna Google" dari akses sistem lain.

JakeGould
sumber
39

Informasi berikut yang diperoleh dengan menggunakan perintah whois 23.236.57.199menjelaskan apa yang perlu Anda lakukan:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.
kasperd
sumber
3
Terpilih untuk singkatnya.
bbaassssiiee