1-2 hete vettem észre indokolatlanul nagy felhasználószám növekedést az egyik weboldalunkon.
Folyamatosan egyre jobban torzította a statisztikákat.
A gond, hogy ezek a kérések teljesen normális felhasználóknak látszanak Win10-zel, böngészővel, nem tudom őket robotként szűrni. Letöltik a főoldalt és onnan mindent, mint egy normál felhasználó, még a javascripteket is futtatják. Pont ez a baj, mert még a statisztikai rendszerben is látszanak. Aztán mást nem töltenek le, csak időnként a főoldalt újra, ugyanúgy.
Már vagy 20 darab /20-as IP tartományt tiltottam ki, ezek mind a Microsoft tulajdonában vannak, de majdnem minden nap új címtartományokból kezdenek jönni ilyen kérések.
Ma is tizenvalahány bejött már egy újabb tartományból, különböző címekről, mire észrevettem és kitiltottam ezt a /20-as tartományt is.
Olyanok, mint a csótányok. Kiirthatatlanok.
Valaki tudja, mi lehet a céljuk ezzel?
Ha nem tiltanám ki őket, már nagyobb forgalmat generálnának, mint a valós userek.
- 992 megtekintés
Hozzászólások
UserAgent példád van?
- A hozzászóláshoz be kell jelentkezni
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36"
- A hozzászóláshoz be kell jelentkezni
Nem hiszem, hogy ezek Windows 10-ek, ha Azure-ben futnak.
- A hozzászóláshoz be kell jelentkezni
Azure-ba rakott botok. Milyen URL-t hívnak elsőre? Nem valami security bepróbálkozás? Vagy egy crawler menti a teljes weboldalt.
- A hozzászóláshoz be kell jelentkezni
Nem próbálkoznak semmivel, csak letöltik a főoldalt
- A hozzászóláshoz be kell jelentkezni
Én is erre gondolnék, crawler botokoknak tűnnek, amelyek azure-ban futnak (vagy mint virtuális gép, vagy mint service).
- A hozzászóláshoz be kell jelentkezni
Nézd meg az alábi cvs fájlban:
https://www.microsoft.com/en-us/download/confirmation.aspx?id=53602
Ez az összes MS által használt Public IP cím.
https://www.microsoft.com/en-us/download/details.aspx?id=56519
Ez meg az Azure Public IP-k.
Először az Azure IP-kkel csinálnék egy tiltólistát, aztán ha nem sikerül, akkor a teljessel.
--------------------------------
...úgyis jönnek...
- A hozzászóláshoz be kell jelentkezni
Nem teljesek ezek a listák.
Ma pl ilyen címekről jöttek: 40.107.248.27, 40.107.248.88, 40.107.248.57, stb. Ezek egyik listában sincsenek, de a publikus infók alapján microsoftos címek
- A hozzászóláshoz be kell jelentkezni
Most találtam egy adagot, ami biztosan Azure-ból jött. Észak amerikai IP-ről.
Kérdés, minek fizet bárki is azért, hogy teljesen értelmetlen forgalmat generáljon egy kelet-európai web-szerveren?
- A hozzászóláshoz be kell jelentkezni
Adatgyűjtés, aztán elemzés. Lehetséges sebezhetőségek ill 0-day exploitok miatt egy lehetséges célpont.
Nemcsak a te szerveredet szkennelik, mindent, amit érnek vagy ami számukra fontos lehet.
--------------------------------
...úgyis jönnek...
- A hozzászóláshoz be kell jelentkezni
Mindenesetre köszi a listákat, ha nem változik semmi, ráteszem az összeset a tiltólistára, bár nem szeretném emiatt feleslegesen terhelni a szervert
- A hozzászóláshoz be kell jelentkezni
Az ipset modullal nem terhel. Ne sima iptables -j DROP szabályt alkalmazz.
- A hozzászóláshoz be kell jelentkezni
Ezeket én is elteszem, köszi :)
- A hozzászóláshoz be kell jelentkezni
Köszönöm mindenkinek, aki hozzászólt!
Hosszas olvasgatás és logelemezgetés után rájöttem, mi történik.
Leírom, hátha másnak is hasznára lesz.
Egy számlázó programot fejlesztünk és most került bele, hogy a számlákat akár tömegesen is ki lehet vele küldeni e-mailben. Egyelőre még csak tesztelők használják, de egyre többen.
Nos úgy néz ki, a felhasználóink olyan e-mail sablonokat szerkesztettek, amiben benne van a számlázó program weboldalának linkje is. Ami jó fej dolog és hálásnak is kéne lennünk miatta, de emiatt jön létre az extra forgalom, amit az email-eket elemző botok generálnak. Nem tudom még, mit fogunk rá kitalálni, mindenesetre csak a statisztikai rendszerből szabad kitiltanunk a botokat, ha nem akarjuk, hogy a felhasználóink levelei emiatt minősüljenek spam-nek.
Köszi még egyszer a segítséget!
- A hozzászóláshoz be kell jelentkezni