Que faites-vous si vous êtes piraté par quelque chose provenant d'une adresse IP supposée légitime, telle que celle de Google?
Un peu plus tôt dans la journée, on m'avait demandé d'utiliser une CAPTCHA, en raison d'activités de recherche suspectes, pour effectuer une recherche sur Google. J'ai donc supposé que l'un des ordinateurs de mon réseau contenait un virus ou quelque chose du genre.
Après avoir fouillé, j’ai remarqué, dans les journaux de mon routeur, qu’il y avait une multitude de connexions à mon Raspberry Pi que j'avais configurées en tant que serveur Web (port transféré aux ports 80 et 22). J'ai donc extrait la carte, désactivé ce port et re-imagé cette fois comme un " Honey Pot " et les résultats sont très intéressants
Le pot de miel signale des tentatives de connexion réussies avec la combinaison nom d'utilisateur/mot de passe pi/raspberry, et enregistre l'adresse IP - celles-ci arrivent presque toutes les secondes - et certaines adresses IP lorsque j'examine sont supposées être celles de Google. .
Donc, je ne sais pas, est-ce qu’ils le font, s’il est supposé " un chapeau blanc ", ou peu importe. Il semble que ce soit une intrusion illégale. Ils ne font rien après s’être connectés.
Voici un exemple d'adresse IP: 23.236.57.199
Donc, je ne sais pas, est-ce qu’ils le font, s’il est supposé " un chapeau blanc ", ou peu importe. Il semble que ce soit une intrusion illégale. Ils ne font rien après s’être connectés.
Vous supposez que Google "attaque" votre serveur, alors que Google fournit également des services d'hébergement Web et d'hébergement d'applications à quiconque paie pour les utiliser. Ainsi, un utilisateur utilisant ces services pourrait avoir un script/programme en place qui effectue le "piratage informatique".
Effectuer une recherche enregistrement DNS inverse (PTR) sur 23.236.57.199 confirme cette idée:
199.57.236.23.bc.googleusercontent.com
Vous pouvez vérifier cela vous-même à partir de la ligne de commande sous Mac OS X ou Linux comme ceci:
Dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
Et le résultat obtenu en ligne de commande sous Mac OS X 10.9.5 (Mavericks) est le suivant:
; <<>> Dig 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN PTR 199.57.236.23.bc.googleusercontent.com.
Ou vous pouvez simplement utiliser +short pour obtenir réellement uniquement la réponse de base telle que:
Dig -x 23.236.57.199 +short
Ce qui reviendrait:
199.57.236.23.bc.googleusercontent.com.
Le nom de domaine de base de googleusercontent.com est clairement ce qu'il est dit, "Contenu utilisateur Google", connu pour être connecté au produit de Google App Engine . Et cela permet à tout utilisateur de créer et de déployer du code dans les applications Python, Java, PHP & Go.
Si vous pensez que ces accès sont malveillants, vous pouvez signaler directement à Google un abus présumé via cette page . Veillez à inclure vos données de journal brutes afin que le personnel de Google puisse voir exactement ce que vous voyez.
Au-delà de cela, cette réponse de débordement de pile explique comment obtenir une liste d'adresses IP connectées au nom de domaine googleusercontent.com. Cela peut être utile si vous souhaitez filtrer les accès "Contenu utilisateur Google" à partir d'autres accès système.
Les informations suivantes obtenues à l'aide de la commande whois 23.236.57.199 expliquent ce que vous devez faire:
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk ([email protected]). Complaints sent to
Comment: any other POC will be ignored.