คุณจะทำอย่างไรถ้าคุณถูกแฮ็คโดยสิ่งที่มาจากที่อยู่ IP ที่ถูกกฎหมายอย่างเช่นจาก Google

ก่อนหน้าวันนี้ฉันได้รับแจ้งให้ใช้ CAPTCHA เพราะกิจกรรมการค้นหาที่น่าสงสัยเมื่อทำการค้นหาโดย Google ฉันจึงสันนิษฐานว่าพีซีในเครือข่ายของฉันมีไวรัสหรืออะไรบางอย่าง

หลังจากมองไปรอบ ๆ ฉันสังเกตเห็น - จากบันทึกของเราเตอร์ - มีการเชื่อมต่อกับ Raspberry Pi ของฉันมากมายที่ฉันตั้งไว้เป็นเว็บเซิร์ฟเวอร์ - พอร์ตส่งต่อไปที่ 80 และ 22 - ดังนั้นฉันจึงดึงการ์ดปิดพอร์ตนั้นไปข้างหน้าและ ถ่ายภาพใหม่ในครั้งนี้ในฐานะ " หม้อน้ำผึ้ง " และผลลัพธ์น่าสนใจมาก

หม้อน้ำผึ้งกำลังรายงานว่ามีความพยายามในการเข้าสู่ระบบด้วยชื่อผู้ใช้ / รหัสผ่านpi/ raspberryและบันทึก IP ของ - เหล่านี้มาในเกือบทุกวินาที - และ IP บางส่วนเมื่อฉันตรวจสอบควรเป็น IP ของ Google

ดังนั้นฉันไม่รู้ว่าพวกเขากำลังทำอะไรถ้ามันควรจะเป็น“ หมวกขาว ” หรืออะไรก็ตาม ดูเหมือนว่าเป็นการบุกรุกที่ผิดกฎหมาย พวกเขาไม่ได้ทำอะไรหลังจากลงชื่อเข้าใช้

นี่คือตัวอย่างที่อยู่ IP: 23.236.57.199

ดังนั้นฉันไม่รู้ว่าพวกเขากำลังทำอะไรถ้ามันควรจะเป็น“ หมวกขาว ” หรืออะไรก็ตาม ดูเหมือนว่าเป็นการบุกรุกที่ผิดกฎหมาย พวกเขาไม่ได้ทำอะไรหลังจากลงชื่อเข้าใช้

คุณกำลังสมมติว่า Google กำลัง“ โจมตี” เซิร์ฟเวอร์ของคุณเองเมื่อ Google เป็นผู้ให้บริการเว็บโฮสติ้งและแอปพลิเคชั่นโฮสติ้งให้กับทุกคนที่จ่ายเงินเพื่อใช้งาน ดังนั้นผู้ใช้ที่ใช้บริการเหล่านั้นอาจมีสคริปต์ / โปรแกรมเข้าแทนที่ "แฮ็ค"

การค้นหาreverse DNS record (PTR)23.236.57.199จะเป็นการยืนยันความคิดนี้เพิ่มเติม:

199.57.236.23.bc.googleusercontent.com

คุณสามารถตรวจสอบสิ่งนี้ได้ด้วยตัวคุณเองจากบรรทัดคำสั่งใน Mac OS X หรือ Linux ดังนี้:

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

และผลลัพธ์ที่ฉันได้รับจากบรรทัดคำสั่งใน Mac OS X 10.9.5 (Mavericks) คือ:

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

หรือคุณสามารถใช้เพียง+shortเพื่อให้ได้คำตอบการตอบสนองหลักเช่นนี้เท่านั้น:

dig -x 23.236.57.199 +short

ซึ่งจะกลับมา:

199.57.236.23.bc.googleusercontent.com.

ชื่อโดเมนที่ฐานของgoogleusercontent.comอย่างชัดเจนคือสิ่งที่มันบอกว่ามันเป็น“ของ Google เนื้อหาของผู้ใช้” ซึ่งเป็นที่รู้จักกันที่จะเชื่อมต่อกับGoogle App Engine“แพลตฟอร์มเป็นบริการ” ผลิตภัณฑ์ และนั่นทำให้ผู้ใช้สามารถสร้างและปรับใช้โค้ดในแอพพลิเคชั่น Python, Java, PHP & Go กับบริการของพวกเขา

หากคุณรู้สึกว่าการเข้าถึงเหล่านี้เป็นอันตรายคุณสามารถรายงานการละเมิดที่สงสัยถึง Google โดยตรงผ่านหน้านี้ โปรดรวมข้อมูลบันทึกดิบของคุณเพื่อให้พนักงาน Google สามารถเห็นสิ่งที่คุณเห็นอย่างชัดเจน

ที่ผ่านมาคำตอบสแต็คโอเวอร์โฟลว์นี้อธิบายวิธีที่จะดำเนินการเกี่ยวกับการรับรายการที่อยู่ IP ที่เชื่อมต่อกับgoogleusercontent.comชื่อโดเมน อาจมีประโยชน์หากคุณต้องการกรองการเข้าถึง“ เนื้อหาผู้ใช้ Google” จากการเข้าถึงระบบอื่น

ข้อมูลต่อไปนี้ที่ได้รับโดยใช้คำสั่งwhois 23.236.57.199อธิบายสิ่งที่คุณต้องทำ:

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.