Bin gerade so mal wieder ein paar Server-Logs durchgegangen, um zu gucken, ob es irgendwelche Auffälligkeiten gibt usw.. Hatte ich vor ein paar Tagen schon mal, und dabei war mir aufgefallen, dass immer mal wieder IPs versuchen, FTP-Zugänge per Bruteforce zu knacken – naja, das ist zu erwarten, wenn man ans große, weite Internet angeschlossen ist. Aber ich banne diese IPs natürlich, wenn ich sie sehe.

Jedenfalls hatte ich jetzt primär nach diesen Angriffen geschaut und auch ein, zwei neue IPs gefunden. Dann kam mir aber eine sehr bekannt vor:
66.249.78.238 gehört nämlich niemand anderem als Google. Nanu? Warum versucht Google, auf unseren FTP-Server zuzugreifen? Kann mir nicht vorstellen, dass irgendwo ein FTP-Link auf unsere Seite zeigt, und ich bezweifle auch, dass Google FTP-Links überhaupt folgen würde.

Kann die IP-Adresse hier irgendwie „gefälscht“ sein? Steckt die NSA dahinter? Oder schafft etwa nicht einmal mehr Google es, seine Server gegen Bots abzusichern?

Wie man sieht, waren es nicht sonderlich viele Versuche; es ist jetzt auch nicht wirklich ein reales Problem, ich frage mich nur, wie das möglich ist. Jemand eine Vermutung?

Klar können IP-Adressen gefälscht sein. Wie man das anstellt, weiß ich leider auch nicht. Ich glaube jedoch auch nicht, daß irgendwelche Google-Mitarbeiter so blöde sind, zum Hacken irgendwelcher Server die IP ihres Arbeitgebers zu verwenden. Und ja, der NSA ist das durchaus zuzutrauen, die schrecken doch vor gar nichts zurück. Frag doch mal nach bei der NSA, warum sie eure Server hacken

Gehört sicher mit zum "Google Programm". Erstmal schön alle Benutzerdaten speichern dann alle WLAN Netze mit dem Vorwand "Google Street View" und anschließend noch versuchen sich auf FTP Servern Zugang mit den gesammelten Passwörtern / Informationen zu beschaffen und eventuelle Daten wenn es geklappt hat gleich mit zu Indexieren / dumpen.

Die einzige Möglichkeit die IP zu "faken" wäre ja mithilfe eines Proxy / VPN und ich glaube kaum, dass die Server worauf der Googlebot läuft so leicht gekapert werden kann.

Erst heißt es "zugreifen", dann "angreifen" und jetzt ist doch im Google-Fall erst einmal reines "Zugreifen", oder?

Ich habe auch einmal eine Zeit lang ein paar Webservices (auch FTP) betrieben und was ich gelernt habe: Auch wenn man sich sehr sicher ist, dass eine Adresse nirgendwo verlinkt ist: Sie ist es doch. Kann ja ein Nutzer des Angebots selbst irgendwo eingestellt haben, Links werden in privaten Nachrichten auf irgendeinem Portal getauscht und irgendein Bot kommt an diese privaten Inhalte des Portals und verarbeitet die weiter...

Ich kann mich nicht mehr erinnern, aber ich meine, man bekommt doch sogar FTP-Links bei einer Google-Suche? Ich bin mir relativ sicher dass mehrere Suchmaschinen-Bots auch auf öffentlichen FTP-Teilen nach robots.txt und Konsorten gesucht haben...

https://www.google.de/search?num=30&...74.qmavuKf8ajk

http://www.breakthesecurity.com/2011...-for.html#more

Also bei mir kommen da nur HTTP-Mirrors von FTP-Verzeichnissen. Ich kann mich auch sonst nicht erinnern, jemals einen FTP-Link in meinen Suchergebnissen gehabt zu haben, aber kann natürlich Zufall sein oder ich habe es vergessen.

@Der schöne Günther: Nee, ich habe nach Angriffen (die auch geschehen, aber halt von anderen IP-Adressen aus) gesucht und habe es dabei zufällig entdeckt.

Leider kann man ja bei Google schon seit Jahren nicht mehr gescheit nach Backlinks suchen, weil die meisten einfach nicht mehr angezeigt werden. "link:ftp://meinedomain" liefert daher erwartungsgemäß nichts zurück.

Jein, ich weiß zumindest, dass – auf niedrigerer OSI-Ebene – z.B. zum Teil DNS-Server für DoS-Attacken missbraucht werden. Der Angreifer schickt sozusagen eine Anfrage an den DNS-Server mit gefälschtem Absender, und der Server schickt seine Antwort dann an das Opfer. So kann man unerkannt jemandem die Leitung mit Paketen verstopfen, wenn man es schnell genug macht.

Vielleicht gibt es bei anderen Protokollen ja ähnliche Angriffsmuster, wer weiß...

Ein ähnliches "Problem" gab es kürzlich mit Microsoft / Skype:

http://www.heise.de/security/meldung...t-1857620.html

"Wer Skype nutzt, hat damit auch sein Einverständnis erklärt, dass die Firma alles mitlesen darf. Wie heise Security feststellte, macht das mittlerweile von Microsoft übernommene Unternehmen von diesen Rechten auch tatsächlich Gebrauch. Zumindest im Chat verschickte https-URLs erhalten kurze Zeit später unangemeldeten Besuch aus Redmond. "

In dem Fall wurde nichts gefälscht, die IP Adressen stammten tatsächlich von Microsoft.

Bei MS ist das Teil des SmartScreen-Filters. Wenn der eingeschaltet ist, wird jede Adresse, die geöffnet wird von MS Servern besucht, die schauen ob da Malware liegt. Dabei werden ggf. auch Dateien runtergeladen und nach Viren / Malware durchsucht. Ich könnte mir vorstellen, dass Google über Chrome einen ähnlichen Dienst betreibt.

Ok, SmartScreen kenne ich jetzt nicht - aber im verlinkten heise Artikel ging es nicht um geöffnete URLs, sondern um URLs die in Chatnachrichten gesendet wurden.

Daher auch der Titel: "Vorsicht beim Skypen - Microsoft liest mit".

Nur mal so am Rande: Google indiziert durchaus ftp-Adressen: https://developers.google.com/webmas...bots_txt?hl=de (Examples of valid...)