Gra*_*yer 62 security honeypot
今天早些时候,由于可疑的搜索活动,我在进行 Google 搜索时被提示使用 CAPTCHA,所以我假设我网络上的 PC 有病毒或其他东西。
在四处浏览之后,我注意到——从我的路由器日志中——我已经设置为网络服务器的 Raspberry Pi 有大量连接——端口转发到 80 和 22——所以我拔出卡,关闭该端口转发并这次把它重新想象成一个“蜜罐”,结果很有趣
蜜罐报告说有成功的尝试使用用户名/密码组合pi/raspberry登录,并记录 IP - 这些几乎每秒都会出现 - 当我调查时,一些 IP 应该是 Google 的 IP。
所以我不知道,他们在做什么,如果它是“白帽”的东西,或者其他什么。这似乎是一种非法入侵。他们登录后什么也不做。
下面是一个示例 IP 地址: 23.236.57.199
Gia*_*968 72
所以我不知道,他们在做什么,如果它是“白帽”的东西,或者其他什么。这似乎是一种非法入侵。他们登录后什么也不做。
您假设 Google 自己正在“攻击”您的服务器,而实际情况是 Google 还向大多数付费使用它们的人提供网络托管和应用程序托管服务。因此,使用这些服务的用户可能有一个执行“黑客攻击”的脚本/程序。
进行反向 DNS 记录 (PTR) 查找23.236.57.199进一步证实了这个想法:
199.57.236.23.bc.googleusercontent.com
您可以在 Mac OS X 或 Linux 的命令行中自行检查,如下所示:
dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
我从 Mac OS X 10.9.5 (Mavericks) 的命令行得到的结果是:
; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
或者您可以使用 just+short来真正获得这样的核心响应答案:
dig -x 23.236.57.199 +short
哪个会返回:
199.57.236.23.bc.googleusercontent.com.
基本域名googleusercontent.com显然就是它所说的,“谷歌用户内容”,已知它与谷歌应用引擎“平台即服务”产品相关联。这允许任何用户创建 Python、Java、PHP 和 Go 应用程序中的代码并将其部署到他们的服务中。
如果您认为这些访问是恶意的,您可以通过此页面直接向 Google 报告疑似滥用行为。请务必包含您的原始日志数据,以便 Google 员工可以准确了解您所看到的内容。
除了这些之外,这个 Stack Overflow 答案解释了如何获取连接到googleusercontent.com域名的 IP 地址列表。如果您想从其他系统访问中过滤“Google 用户内容”访问,可能会很有用。
kas*_*erd 41
使用该命令获得的以下信息whois 23.236.57.199说明了您需要执行的操作:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk (google-cloud-compliance@google.com). Complaints sent to
Comment: any other POC will be ignored.
| 归档时间: |
|
| 查看次数: |
38063 次 |
| 最近记录: |