¿Qué haces si estás siendo pirateado por algo que proviene de una dirección IP supuestamente legítima como Google?

El día de hoy me pidieron que usara un CAPTCHA, debido a una actividad de búsqueda sospechosa, al hacer una búsqueda en Google, así que supuse que una PC en mi red tenía un virus o algo así.

Después de hurgar, noté, desde los registros de mi enrutador, que había toneladas de conexiones a mi Raspberry Pi que había configurado como servidor web (puerto reenviado a 80 y 22), así que saqué la tarjeta, apagué ese puerto y esta vez lo re-imaginé como una " olla de miel " y los resultados son muy interesantes

The Honey Pot informa que hay intentos exitosos de iniciar sesión con la combinación de nombre de usuario / contraseña pi/ raspberry, y registra las IP, que vienen casi cada segundo, y algunas de las IP cuando investigo se supone que son IP de Google.

Entonces no sé, ¿qué están haciendo, si se supone que son cosas de " sombrero blanco ", o lo que sea? Parece que es una intrusión ilegal. No están haciendo nada después de iniciar sesión.

Aquí hay un ejemplo de dirección IP: 23.236.57.199

Entonces no sé, ¿qué están haciendo, si se supone que son cosas de " sombrero blanco ", o lo que sea? Parece que es una intrusión ilegal. No están haciendo nada después de iniciar sesión.

Usted asume que Google mismo está "atacando" su servidor, cuando la realidad es que Google también proporciona servicios de alojamiento web y de aplicaciones para la mayoría de las personas que pagan por usarlos. Por lo tanto, un usuario que utiliza esos servicios podría tener un script / programa en el lugar que está haciendo el "pirateo".

Hacer una búsqueda inversa de registro DNS (PTR)23.236.57.199 confirma aún más esta idea:

199.57.236.23.bc.googleusercontent.com

Puede verificar esto, por su cuenta, desde la línea de comandos en Mac OS X o Linux de esta manera:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

Y el resultado que obtengo de la línea de comandos en Mac OS X 10.9.5 (Mavericks) es:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

O podría usarlo +shortpara obtener realmente la respuesta de respuesta central como esta:

dig -x 23.236.57.199 +short

Que volvería:

199.57.236.23.bc.googleusercontent.com.

El nombre de dominio base de googleusercontent.comclaramente es lo que dice que es "Contenido de usuario de Google" que se sabe que está conectado al producto "Plataforma como servicio" de Google App Engine . Y eso permite a cualquier usuario crear e implementar código en aplicaciones Python, Java, PHP & Go a su servicio.

Si cree que estos accesos son maliciosos, puede informar sospechas de abuso a Google directamente a través de esta página . Asegúrese de incluir sus datos de registro sin procesar para que el personal de Google pueda ver exactamente lo que está viendo.

Más allá de todo eso, esta respuesta de desbordamiento de pila explica cómo se puede obtener una lista de direcciones IP conectadas al googleusercontent.comnombre de dominio. Podría ser útil si desea filtrar los accesos de "Contenido de usuario de Google" desde otros accesos del sistema.

La siguiente información obtenida con el comando whois 23.236.57.199explica lo que debe hacer:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk ([email protected]).  Complaints sent to 
Comment:        any other POC will be ignored.