O que você faz se estiver sendo invadido por algo proveniente de um endereço IP supostamente legítimo, como o Google?

Hoje cedo, fui solicitado a usar um CAPTCHA - por causa de atividades de pesquisa suspeitas - ao fazer uma pesquisa no Google. Portanto, presumi que um PC da minha rede tinha um vírus ou algo assim.

Depois de bisbilhotar, notei - nos logs do meu roteador - que havia toneladas de conexões com o meu Raspberry Pi que eu havia configurado como servidor da Web - porta encaminhada para 80 e 22 -, então puxei a placa, desliguei a porta e reimaginado desta vez como um “ pote de mel ” e os resultados são muito interessantes

O honey pot está relatando que existem tentativas bem-sucedidas de fazer login com a combinação nome de usuário / senha pi/ raspberrye registra os IPs - estes estão chegando quase a cada segundo - e alguns dos IPs quando eu investigo devem ser o IP do Google.

Então, eu não sei, eles estão fazendo, se é suposto " chapéu branco ", ou o que quer. Parece que isso é uma intrusão ilegal. Eles não estão fazendo nada depois de fazer login.

Aqui está um exemplo de endereço IP: 23.236.57.199

Então, eu não sei, eles estão fazendo, se é suposto " chapéu branco ", ou o que quer. Parece que isso é uma intrusão ilegal. Eles não estão fazendo nada depois de fazer login.

Você está assumindo que o próprio Google está "atacando" seu servidor, quando a realidade é que o Google também fornece serviços de hospedagem na web e de aplicativos para a maioria das pessoas que pagam por usá-los. Assim, um usuário que usa esses serviços pode ter um script / programa em prática que esteja fazendo o "hacking".

Fazer uma pesquisa reversa no registro DNS (PTR)23.236.57.199 confirma ainda mais essa idéia:

199.57.236.23.bc.googleusercontent.com

Você pode verificar isso - por conta própria - na linha de comando do Mac OS X ou Linux, desta forma:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

E o resultado obtido na linha de comando no Mac OS X 10.9.5 (Mavericks) é:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

Ou você pode usar apenas +shortpara realmente obter apenas a resposta principal da resposta, como esta:

dig -x 23.236.57.199 +short

O que retornaria:

199.57.236.23.bc.googleusercontent.com.

O nome de domínio base de googleusercontent.comclaramente é o que diz "Conteúdo do usuário do Google", que é conhecido por estar conectado ao produto "Plataforma como serviço" do Google App Engine . E isso permite que qualquer usuário crie e implante código em aplicativos Python, Java, PHP & Go em seus serviços.

Se você acha que esses acessos são maliciosos, pode denunciar suspeitas de abuso diretamente ao Google por meio desta página . Não se esqueça de incluir seus dados brutos de registro para que a equipe do Google possa ver exatamente o que você está vendo.

Além disso, essa resposta do Stack Overflow explica como é possível obter uma lista de endereços IP conectados ao googleusercontent.comnome de domínio. Pode ser útil se você deseja filtrar acessos do "Conteúdo do usuário do Google" de outros acessos do sistema.

As seguintes informações obtidas usando o comando whois 23.236.57.199explicam o que você precisa fazer:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.