Un peu plus tôt dans la journée, on m'avait demandé d'utiliser une CAPTCHA, en raison d'activités de recherche suspectes, pour effectuer une recherche sur Google. J'ai donc supposé que l'un des ordinateurs de mon réseau contenait un virus ou quelque chose du genre.
Après avoir fouillé, j’ai remarqué, dans les journaux de mon routeur, qu’il y avait une multitude de connexions à mon Raspberry Pi que j'avais configurées en tant que serveur Web (port transféré aux ports 80 et 22). re-imagé cette fois comme un " pot de miel ”Et les résultats sont très intéressants
Le pot de miel signale des tentatives de connexion réussies avec la combinaison nom d'utilisateur / mot de passe pi
/ raspberry
et enregistre les adresses IP - celles-ci arrivent presque toutes les secondes - et certaines des adresses IP lorsque je fais des recherches sont supposées être celles de Google.
Donc je ne sais pas, est-ce qu'ils font, si c'est supposé " chapeau blanc "Trucs, ou autre chose. Il semble que ce soit une intrusion illégale. Ils ne font rien après s’être connectés.
Voici un exemple d'adresse IP: 23.236.57.199
pi/raspberry
combinaison sur autre chose que votre pot de miel. Au moment où vous le rendez accessible de l'extérieur, il devrait avoir quelque chose de plus décent que çaRéponses:
Vous supposez que Google «attaque» votre serveur, alors que Google fournit également des services d'hébergement Web et d'hébergement d'applications à quiconque paie pour les utiliser. Ainsi, un utilisateur utilisant ces services pourrait avoir un script / programme en place qui effectue le «piratage informatique».
Faire un recherche DNS inversée (PTR) sur
23.236.57.199
confirme encore cette idée:Vous pouvez vérifier cela vous-même à partir de la ligne de commande sous Mac OS X ou Linux comme ceci:
Et le résultat obtenu en ligne de commande sous Mac OS X 10.9.5 (Mavericks) est le suivant:
Ou vous pouvez utiliser juste
+short
pour obtenir réellement uniquement la réponse de base, répondez comme ceci:Ce qui reviendrait:
Le nom de domaine de base de
googleusercontent.com
est clairement ce qu’il est dit, «Contenu utilisateur Google», connu pour être connecté au Produit «Plate-forme en tant que service» de Google App Engine . Et cela permet à tout utilisateur de créer et de déployer du code en Python, Java, PHP & amp; Allez les applications à leur service.Si vous pensez que ces accès sont malveillants, vous pouvez signaler des abus présumés à Google directement via cette page . Veillez à inclure vos données de journal brutes afin que le personnel de Google puisse voir exactement ce que vous voyez.
Passé tout ça, cette réponse de débordement de pile explique comment on peut s'y prendre pour obtenir une liste d'adresses IP connectées au
googleusercontent.com
nom de domaine. Cela peut être utile si vous souhaitez filtrer les accès «Contenu utilisateur Google» à partir d'autres accès système.la source
Les informations suivantes obtenues à l'aide de la commande
whois 23.236.57.199
explique ce que vous devez faire:la source