Was tun Sie, wenn Sie von etwas gehackt werden, das von einer vermeintlich legitimen IP-Adresse stammt, z. B. von Google?

13567
Grady Player

Früher heute wurde ich wegen einer verdächtigen Suchfunktion bei einer Google-Suche aufgefordert, ein CAPTCHA zu verwenden. Daher ging ich davon aus, dass entweder ein PC in meinem Netzwerk einen Virus hatte oder etwas.

Nachdem ich herumgestöbert hatte, bemerkte ich - aus meinen Router-Protokollen -, dass es unzählige Verbindungen zu meinem Raspberry Pi gab, die ich als Webserver eingerichtet hatte - Port auf 80 und 22 weitergeleitet -, also zog ich die Karte aus, schaltete den Port vor und ab Diesmal als " Honigtopf " neu abgebildet und die Ergebnisse sind sehr interessant

Der Honigtopf berichtet, dass es erfolgreiche Versuche mit der Benutzername / Passkombination einzuloggen pi/ raspberryund protokolliert die IP -diese kommt in fast jedem zweiten und einige der IP-Adressen, wenn ich investigate soll Googles IP.

Ich weiß nicht, tun sie, ob es sich um " White Hat " oder so etwas handelt. Es scheint, dass dies ein illegaler Eingriff ist. Sie tun nichts, nachdem sie sich angemeldet haben.

Hier ist eine Beispiel-IP-Adresse: 23.236.57.199

56
Schauen Sie sich das an, insbesondere den Kommentar: http://whois.domaintools.com/23.236.57.199 Qantas 94 Heavy vor 9 Jahren 17
@ Qantas94Heavy; Cool, danke. Grady Player vor 9 Jahren 0
Wenn Sie das Gerät ordnungsgemäß sichern, ist dies für Sie kein Problem. Dies ist eigentlich die Antwort auf die Frage: Was tun? Sichern Sie das Gerät. usr vor 9 Jahren 5
Ich habe den letzten Schnitt zurückgesetzt, weil der Fokus darauf liegt, was zu tun ist, wenn Sie wissen, dass Sie angegriffen werden, und nicht, wie Sie ihn verhindern können ... was meiner Meinung nach an vielen Orten dokumentiert ist ... Grady Player vor 9 Jahren 1
Ich hoffe, Sie verwenden die `pi / himbeer'-Kombination nicht für andere Zwecke als Ihren Honigtopf. Sobald Sie es von außen zugänglich machen, sollte es etwas anständigeres sein. vor 9 Jahren 0
@mast pi ist nur Honeypot; Irgendwann werde ich einfach die Protokolle ziehen, eine neue IP erhalten und ein neues Image erstellen Grady Player vor 9 Jahren 0
@ usr - natürlich sollte es dich betreffen. Dies ist zwar kein vollständiger DoS, aber ~ 100.000 Anfragen pro Tag belasten den Server immer noch und könnten jemanden leicht über das Limit seiner Hosting-Bandbreite hinausschieben. Davor vor 9 Jahren 0
Es beantwortet nicht Ihre Frage "Was tun", aber es könnte einen gewissen Kontext geben: Es gibt Dienste wie https://www.shodan.io/, die genau das tun. Sie suchen nach verwundbaren Diensten, wie denen mit Standardanmeldeinformationen und Index Sie. Sie tun angeblich nichts anderes, indizieren sie nur. Vielleicht ist dir etwas ähnliches passiert. Bastian vor 8 Jahren 0

2 Antworten auf die Frage

62
JakeGould

Ich weiß nicht, tun sie, ob es sich um " White Hat " oder so etwas handelt. Es scheint, dass dies ein illegaler Eingriff ist. Sie tun nichts, nachdem sie sich angemeldet haben.

Sie gehen davon aus, dass Google selbst Ihren Server "angreift". In Wirklichkeit bietet Google den meisten, die dafür bezahlen, auch Web-Hosting- und Application-Hosting-Dienste an. Ein Benutzer, der diese Dienste verwendet, kann also ein Skript / ein Programm haben, das das "Hacken" durchführt.

Wenn Sie einen Reverse-DNS-Datensatz (PTR) nachschlagen23.236.57.199, wird dies weiter bestätigt:

199.57.236.23.bc.googleusercontent.com

Sie können dies in der Befehlszeile in Mac OS X oder Linux wie folgt überprüfen:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Und das Ergebnis, das ich in Mac OS X 10.9.5 (Mavericks) von der Kommandozeile bekomme, ist:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats ;; global options: +cmd 199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.

Oder Sie können einfach +shortnur die Kernantwortantwort wie folgt erhalten:

dig -x 23.236.57.199 +short

Was würde zurückkehren:

199.57.236.23.bc.googleusercontent.com.

Der Basis-Domain-Name von googleusercontent.comGoogle heißt eindeutig "Google-Nutzer-Content", von dem bekannt ist, dass er mit dem "Platform as a Service" -Produkt von Google App Engine verbunden ist . Dies ermöglicht jedem Benutzer, Code in Python-, Java-, PHP- und Go-Anwendungen für seinen Dienst zu erstellen und bereitzustellen.

Wenn Sie der Meinung sind, dass diese Zugriffe böswillig sind, können Sie mutmaßlichen Missbrauch direkt über diese Seite an Google melden . Stellen Sie sicher, dass Sie Ihre Rohprotokolldaten angeben, damit Google-Mitarbeiter genau sehen können, was Sie sehen.

Vergangenheit irgendetwas davon, diese Antwort Stack - Überlauf erklärt, wie man über das Erhalten einer Liste von IP - Adressen mit dem gehen können googleusercontent.comDomain - Namen. Kann nützlich sein, wenn Sie die Zugriffe von Google-Nutzerinhalten von anderen Systemzugriffen filtern möchten.

38
kasperd

Die folgenden Informationen, die Sie mit diesem Befehl erhalten, whois 23.236.57.199erläutern, was Sie tun müssen:

Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers *** Comment:  Comment: Please direct all abuse and legal complaints regarding these addresses to the Comment: GC Abuse desk (google-cloud-compliance@google.com). Complaints sent to  Comment: any other POC will be ignored.
Der Kürze wegen zugestimmt. bbaassssiiee vor 9 Jahren 3

Verwandte Probleme