Wingsuit lander uden at bruge en faldskærm - Gary Connery

Jeg fanger, gemmer og rapporterer alle mistænkelige eller ondsindede handlinger mod mine servere. Blandt de ting, jeg sporer, er havnescanninger på sårbare porte (inklusive standardporte til SSH, RDP, Plesk og Webmin, hvoraf ingen er i brug på nogen af ​​mine servere), og faktiske mislykkede loginforsøg på nogen beskyttet tjeneste.

Ved siden af ​​de sædvanlige mistænkte fra nuværende og tidligere kommunistiske stater finder jeg et enormt antal forsøg fra Googles bots ikke kun på at scanne porte, men aktivt at forsøge at logge på adgangskodebeskyttede tjenester.

Jeg forstår, at Googles edderkopper søger på interwebs efter nye og ændrede websider, hvorfor jeg hvidliste deres servere, når jeg fanger dem rammer honningplader. Men hvorfor i helvede forsøger de at scanne efter serviceporte, og endnu værre, aktivt at prøve at logge på privilegerede tjenester?

Tjek disse tre links:

https://www.abuseipdb.com/check/130.211.246.128

https://www.abuseipdb.com/check/35.201.183.224

https://www.abuseipdb.com/check/35.204.251.155

Hver AbuseIPDB-bruger kan frit angive angrebsrapporterne, uanset hvordan de vil. Nogle, ligesom mig, giver en generisk beskrivelse af typen af ​​angreb for at undgå at afsløre for meget information. Andre sender bare hvad deres firewalls spytter ud.

Ved hjælp af hvilken som helst terminologi indeholder alle siderne dog flere referencer til Google, der aktivt forsøger at Log på til tjenester (de ser ud til at have en særlig forkærlighed for SSH og FTP) og fejler på grund af godkendelsesfejl. At foretage faktiske loginforsøg går langt ud over webcrawling og går efter min mening langt over linjen med acceptabel adfærd.

Så hvad handler det hele om? Uautoriseret penetrationstest? Det ville være den mest forsvarlige (og mindst ulovlige) grund. Så giver Google fordelen ved tvivlen og antager, at det er hvad de laver, hvad er det rigtige svar?

Bortset fra når deres bots ramte HTTP-honningpotter, som kunne afvises som utilsigtet, blokerer jeg Googles IP'er, når de engagerer sig i, hvad der ligner ondskab, ligesom jeg ville blokere enhver anden ondsindet IP. Jeg gav dem ikke tilladelse til at gøre noget af dette; så for mig er de ikke bedre end nogen anden almindelig hacker, krakker eller misforstået.

Jeg tror, ​​du finder ud af, at det er IP-adresser til Google Cloud Platform, hvilket betyder, at det ikke er Google selv, men tredjeparter, der kører deres egen kode på Googles platform. Så Google prøver ikke at hacke dig, det sælger computertjenester til offentligheden, hvoraf nogle er hackere.

  • Okay tak. De beslutter at * googleusercontent.com, så det giver mening. Så temp-blokering synes et passende svar.

arbejdet for dig: Charles Robertson | Ønsker du at kontakte os?

nyttige oplysninger