Google과 같은 합법적 인 IP 주소에서 오는 무언가에 의해 해킹 당하면 어떻게해야합니까?

오늘 초, Google 검색을 수행 할 때 의심스러운 검색 활동으로 인해 보안 문자를 사용하라는 메시지가 표시되었습니다. 따라서 네트워크의 PC에 바이러스 나 바이러스가 있다고 가정했습니다.

주변을 살펴본 후, 라우터 로그에서 웹 서버로 설정 한 Raspberry Pi에 대한 연결이 80 및 22로 전달되었음을 알 수있었습니다. 그래서 카드를 뽑고 포트를 끈 다음 이번에는“ 꿀 냄비 ” 로 이미지를 다시 만들었고 결과는 매우 흥미 롭습니다

꿀 냄비는 사용자 이름 / 패스 조합에 로그인하는 성공적인 시도가 있음을보고하고있다 pi/이 raspberry, 그리고 로그온 IP의에서 - 이러한오고있다 거의 모든 초-및 일부 IP의 I는 Google의 IP 있어야하는 조사 때.

그래서 나는 그것이 흰 모자 라고 생각된다면 무엇을하고 있는지 모르겠습니다 . 불법 침입 인 것 같습니다. 로그인 한 후에는 아무것도하지 않습니다.

IP 주소의 예는 다음과 같습니다. 23.236.57.199

security honeypot

— 그 레이디 플레이어
소스

이에 특별히 코멘트를 살펴 보자 : whois.domaintools.com/23.236.57.199

— 콴타스 94 헤비

장치를 올바르게 고정하면 걱정하지 않아도됩니다. 이것은 실제로 질문에 대한 답변입니다. 어떻게해야합니까? 장치를 고정하십시오.

— usr

마지막 편집을 롤백했습니다. 공격을 막는 방법이 아니라 공격을 당했다는 것을 아는 경우에 초점을 맞추는 것이기 때문에 많은 장소가 기록되어 있습니다 ...

— Grady Player

pi/raspberry허니팟 이외의 다른 기기 에서는 조합을 사용하지 않기를 바랍니다 . 외부에서 액세스 할 수있는 순간 그보다 더 좋은 것이 있어야합니다.

@mast pi는 허니팟 일뿐입니다. 언젠가는 로그를 가져 와서 새로운 IP를 가져와 이미지를 다시 만들 것입니다

— Grady Player

답변:

그래서 나는 그것이 흰 모자 라고 생각된다면 무엇을하고 있는지 모르겠습니다 . 불법 침입 인 것 같습니다. 로그인 한 후에는 아무것도하지 않습니다.

귀하는 Google 자체가 귀하의 서버를 "공격"한다고 가정합니다. 실제로 Google은 웹 호스팅 및 애플리케이션 호스팅 서비스를 사용하는 대부분의 사람에게 웹 호스팅 및 응용 프로그램 호스팅 서비스를 제공합니다. 따라서 해당 서비스를 사용하는 사용자는 "해킹"을 수행하는 스크립트 / 프로그램을 보유 할 수 있습니다.

PTR (역방향 DNS 레코드) 조회를23.236.57.199 수행하면 이 아이디어 를 추가로 확인할 수 있습니다.

199.57.236.23.bc.googleusercontent.com

다음과 같이 Mac OS X 또는 Linux의 명령 행에서 직접 확인할 수 있습니다.

dig -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats

그리고 Mac OS X 10.9.5 (Mavericks)의 명령 줄에서 얻은 결과는 다음과 같습니다.

; <<>> DiG 9.8.3-P1 <<>> -x 23.236.57.199 +nocomments +noquestion +noauthority +noadditional +nostats
;; global options: +cmd
199.57.236.23.in-addr.arpa. 86400 IN    PTR 199.57.236.23.bc.googleusercontent.com.

또는 다음 +short과 같이 핵심 응답 답변 만 얻는 데 사용할 수 있습니다 .

dig -x 23.236.57.199 +short

다음을 반환합니다.

199.57.236.23.bc.googleusercontent.com.

기본 도메인 이름은 Google App Engine의 "Platform as a Service"제품에googleusercontent.com 연결된 것으로 알려진 "Google User Content"입니다 . 이를 통해 모든 사용자는 Python, Java, PHP & Go 응용 프로그램에서 코드를 작성하고 서비스에 배포 할 수 있습니다.

이러한 액세스가 악의적이라고 생각되면 이 페이지를 통해 Google에 직접 의심되는 악용 사례를 신고 할 수 있습니다 . Google 직원이보고있는 내용을 정확하게 볼 수 있도록 원시 로그 데이터를 포함해야합니다.

그중에서도이 스택 오버플로 답변 은 googleusercontent.com도메인 이름에 연결된 IP 주소 목록을 얻는 방법을 설명 합니다 . 다른 시스템 액세스에서 "Google 사용자 콘텐츠"액세스를 필터링하려는 경우 유용 할 수 있습니다.

— 제이크 굴드
소스

명령을 사용하여 얻은 다음 정보는 whois 23.236.57.199수행해야 할 작업을 설명합니다.

Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:        
Comment:        Please direct all abuse and legal complaints regarding these addresses to the
Comment:        GC Abuse desk (google-cloud-compliance@google.com).  Complaints sent to 
Comment:        any other POC will be ignored.

— 카스퍼 드
소스

간결하게 찬성했습니다.

— bbaassssiiee