Bạn sẽ làm gì nếu bạn bị hack bởi thứ gì đó đến từ một địa chỉ IP được cho là hợp pháp như từ Google?

Đầu ngày hôm nay, tôi đã được nhắc sử dụng CAPTCHA, vì hoạt động tìm kiếm đáng ngờ, khi thực hiện tìm kiếm Google, vì vậy tôi cho rằng một PC trên mạng của tôi có virus hoặc thứ gì đó.

Sau khi chọc ngoáy, tôi nhận thấy, từ bộ định tuyến của tôi ghi lại, có rất nhiều kết nối với Raspberry Pi mà tôi đã thiết lập như một máy chủ web Cổng port chuyển tiếp đến 80 và 22, vì vậy tôi rút thẻ, tắt cổng đó về phía trước và tắt Lần này tái hiện lại nó như một nồi mật ong của người Hồi giáo và kết quả rất thú vị

Nồi mật ong đang báo cáo rằng có những nỗ lực đăng nhập thành công với tên người dùng / kết hợp vượt qua pi/ raspberryvà ghi nhật ký IP củathththese đến trong hầu hết mọi giây và một số IP khi tôi điều tra được cho là IP của Google.

Vì vậy, tôi không biết, họ đang làm gì, nếu nó được cho là thứ mũ trắng của Vương , hay bất cứ thứ gì. Có vẻ như đó là một sự xâm nhập bất hợp pháp. Họ không làm gì sau khi đăng nhập.

Đây là một địa chỉ IP mẫu: 23.236.57.199

Vì vậy, tôi không biết, họ đang làm gì, nếu nó được cho là thứ mũ trắng của Vương , hay bất cứ thứ gì. Có vẻ như đó là một sự xâm nhập bất hợp pháp. Họ không làm gì sau khi đăng nhập.

Bạn đang cho rằng chính Google đang tấn công vào máy chủ của bạn, khi thực tế là Google cũng cung cấp dịch vụ lưu trữ web và dịch vụ lưu trữ ứng dụng cho hầu hết những ai trả tiền để sử dụng chúng. Vì vậy, một người dùng sử dụng các dịch vụ đó có thể có một kịch bản / chương trình đang thực hiện việc hack.

Thực hiện tra cứu bản ghi DNS ngược (PTR)23.236.57.199 tiếp tục xác nhận ý tưởng này:

199.57.236.23.bc.googleusercontent.com

Bạn có thể kiểm tra điều này trên máy tính của riêng bạn từ dòng lệnh trong Mac OS X hoặc Linux như thế này:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Và kết quả tôi nhận được từ dòng lệnh trong Mac OS X 10.9.5 (Mavericks) là:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Hoặc bạn có thể sử dụng chỉ +shortđể thực sự chỉ nhận được câu trả lời cốt lõi như thế này:

dig -x 23.236.57.199 +short

Mà sẽ trở lại:

199.57.236.23.bc.googleusercontent.com.

Tên miền cơ bản googleusercontent.comrõ ràng là tên của nó, đó là Nội dung người dùng Google, được biết là được kết nối với Nền tảng Google App Engine Engine như một sản phẩm Service Service . Và điều đó cho phép bất kỳ người dùng nào tạo và triển khai mã trong các ứng dụng Python, Java, PHP & Go cho dịch vụ của họ.

Nếu bạn cảm thấy những truy cập này là độc hại, bạn có thể báo cáo lạm dụng đáng ngờ cho Google trực tiếp thông qua trang này . Hãy chắc chắn bao gồm dữ liệu nhật ký thô của bạn để nhân viên Google có thể thấy chính xác những gì bạn đang thấy.

Trước đây, câu trả lời Stack Overflow này giải thích cách người ta có thể tìm danh sách các địa chỉ IP được kết nối với googleusercontent.comtên miền. Có thể hữu ích nếu bạn muốn lọc truy cập của Google Google Nội dung người dùng từ các truy cập hệ thống khác.

Các thông tin sau có được bằng cách sử dụng lệnh whois 23.236.57.199giải thích những gì bạn cần làm:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.