Que faites-vous si vous êtes piraté par quelque chose provenant d'une adresse IP supposée légitime, telle que celle de Google?

55

Un peu plus tôt dans la journée, on m'avait demandé d'utiliser une CAPTCHA, en raison d'activités de recherche suspectes, pour effectuer une recherche sur Google. J'ai donc supposé que l'un des ordinateurs de mon réseau contenait un virus ou quelque chose du genre.

Après avoir fouillé, j’ai remarqué, dans les journaux de mon routeur, qu’il y avait une multitude de connexions à mon Raspberry Pi que j'avais configurées en tant que serveur Web (port transféré aux ports 80 et 22). re-imagé cette fois comme un " pot de miel ”Et les résultats sont très intéressants

Le pot de miel signale des tentatives de connexion réussies avec la combinaison nom d'utilisateur / mot de passe pi / raspberryet enregistre les adresses IP - celles-ci arrivent presque toutes les secondes - et certaines des adresses IP lorsque je fais des recherches sont supposées être celles de Google.

Donc je ne sais pas, est-ce qu'ils font, si c'est supposé " chapeau blanc "Trucs, ou autre chose. Il semble que ce soit une intrusion illégale. Ils ne font rien après s’être connectés.

Voici un exemple d'adresse IP: 23.236.57.199

Grady Player
la source
17
Jetez un coup d'oeil à cela, plus précisément au commentaire: whois.domaintools.com/23.236.57.199
Qantas 94 Heavy
5
Si vous sécurisez correctement l'appareil, cela ne devrait pas vous concerner. C'est en fait la réponse à la question: que faire? Sécuriser l'appareil.
usr
1
J'ai annulé la dernière modification parce que l'accent est mis sur ce qu'il faut faire si vous savez que vous êtes attaqué, plutôt que sur la façon de la prévenir ... ce qui, je pense, est documenté de nombreux endroits ...
Grady Player
J'espère que vous n'utilisez pas le pi/raspberry combinaison sur autre chose que votre pot de miel. Au moment où vous le rendez accessible de l'extérieur, il devrait avoir quelque chose de plus décent que ça
@mast pi est seulement un pot de miel; à un moment donné, je vais simplement extraire les journaux, obtenir une nouvelle adresse IP et la re-image
Grady Player

Réponses:

62

Donc je ne sais pas, est-ce qu'ils font, si c'est supposé " chapeau blanc ”   des trucs ou autre chose Il semble que ce soit une intrusion illégale. Ils   ne font rien après leur connexion.

Vous supposez que Google «attaque» votre serveur, alors que Google fournit également des services d'hébergement Web et d'hébergement d'applications à quiconque paie pour les utiliser. Ainsi, un utilisateur utilisant ces services pourrait avoir un script / programme en place qui effectue le «piratage informatique».

Faire un recherche DNS inversée (PTR) sur 23.236.57.199 confirme encore cette idée:

199.57.236.23.bc.googleusercontent.com

Vous pouvez vérifier cela vous-même à partir de la ligne de commande sous Mac OS X ou Linux comme ceci:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Et le résultat obtenu en ligne de commande sous Mac OS X 10.9.5 (Mavericks) est le suivant:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Ou vous pouvez utiliser juste +short pour obtenir réellement uniquement la réponse de base, répondez comme ceci:

dig -x 23.236.57.199 +short

Ce qui reviendrait:

199.57.236.23.bc.googleusercontent.com.

Le nom de domaine de base de googleusercontent.com est clairement ce qu’il est dit, «Contenu utilisateur Google», connu pour être connecté au Produit «Plate-forme en tant que service» de Google App Engine . Et cela permet à tout utilisateur de créer et de déployer du code en Python, Java, PHP & amp; Allez les applications à leur service.

Si vous pensez que ces accès sont malveillants, vous pouvez signaler des abus présumés à Google directement via cette page . Veillez à inclure vos données de journal brutes afin que le personnel de Google puisse voir exactement ce que vous voyez.

Passé tout ça, cette réponse de débordement de pile explique comment on peut s'y prendre pour obtenir une liste d'adresses IP connectées au googleusercontent.com nom de domaine. Cela peut être utile si vous souhaitez filtrer les accès «Contenu utilisateur Google» à partir d'autres accès système.

JakeGould
la source
39

Les informations suivantes obtenues à l'aide de la commande whois 23.236.57.199 explique ce que vous devez faire:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.
kasperd
la source
3
On a voté pour la brièveté.
bbaassssiiee