it-swarm.com.de

Verdächtiger Web-Verkehr von Amazon.com ISP

Vor ein paar Stunden habe ich meine Protokolle überprüft, als ich eine Menge Verkehr von der IP-Adresse 54.174.xx.xx und dem ISP Amazon.com (validiert von Google Analytics) fand. Es dauerte eine Stunde und dann scheint alles normal.

Das ist etwas sehr Abnormales. Ich habe weiter nachgeforscht und bin verwirrt, dass es sich nicht wirklich um einen Bot handelt (naja, ich denke schon), weil ich sehe, dass Benutzer (zum Beispiel mit ip 54.174.59.201) sogar Miniaturansichten in der Seitenleiste angeklickt haben. Browser, Betriebssystem und Bildschirmauflösung sind jedoch für alle Sitzungen gleich.

Was ist die Ursache und was ist zu tun?

enter image description here

4
Ramnath

Wir hatten das gleiche Problem und es stellte sich heraus, dass es sich um Pingdom (Website-Überwachungsservice) handelte.

Jemand hatte es so konfiguriert, dass alle 5 Minuten ein Ping auf unsere Website und die Anmeldung erfolgte, was zu Tausenden von Treffern pro Monat von Ashburn, VA bei einem Dienstanbieter von Amazon führte. Die Zeit vor Ort war jedes Mal nur ein Bruchteil einer Sekunde.

Pingdom empfiehlt, das Blockieren des bekannten Bot-Verkehrs über eine Einstellung in GA zu aktivieren: https://help.pingdom.com/hc/en-us/articles/212979949-What-analytics-will-Pingdom-checks-and-products -trigger -

2
Justin

Beachten Sie hierbei, dass Amazon nicht nur ein Website-Anbieter, sondern auch ein Cloud-Dienstanbieter ist und über einen Dienst verfügt, mit dem Benutzer als Remotedesktopsitzung auf eine virtualisierte Desktop-Oberfläche im Amazon-Netzwerk zugreifen können. Dieser bestimmte Dienst verwendet ein Windows Server-Gateway, sodass die Desktopauflösung und der Fingerabdruck des Betriebssystems im Allgemeinen identisch sind. Das einfache Anzeigen dieser Einträge in Ihren Protokollen ist von Natur aus keine schlechte Sache, es sei denn, Sie sehen Datenverkehr, der darauf hinweist, dass sie Ihre Websitesicherheit verletzen oder die Dienste verwenden, um böswillige Aktionen oder Spam auf Ihrer Website auszuführen.

1

HINWEIS: Ich würde mich als n00b-Entwickler aus Down Under bezeichnen.

In Bezug auf das OP hat mich hier eine Google-Suche der unten genannten IP geführt.

Um Spam zu minimieren, richten Sie dieses Blackhole für böse Bot wie folgt ein: https://perishablepress.com/blackhole-bad-bots/

Der erste Treffer, von dem Blackhole teils berichtete, war:

Dienstag, 27. November 2018 @ 11:36:37

URL-Anforderung:/blackhole/IP-Adresse: 52.200.221.20 Benutzeragent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.2 (KHTML, wie Gecko) Chrome/22.0.1216.0 Safari/537.2

Whois-Suche:

Die Daten und Dienste von ARIN WHOIS unterliegen den Nutzungsbedingungen, die unter folgender Adresse verfügbar sind: https://www.arin.net/whois_tou.html Wenn Sie Ungenauigkeiten in den Ergebnissen sehen, melden Sie diese bitte unter https://www.arin.net/resources/whois_reporting/index.html Copyright 1997-2018, American Registry for Internet Numbers, Ltd.

NetRange: 52.192.0.0 - 52.223.255.255 CIDR: 52.192.0.0/11 NetName: AT-88-Z NetHandle: NET-52-192-0-0-1 Parent: NET52 (NET-52-0-0-0- 0) NetType: Direkte Zuordnung OriginAS:
Organisation: Amazon Technologies Inc. (AT-88-Z) RegDate: 2015-09-02 Aktualisiert: 2015-09-02 Ref: https://rdap.arin.net/registry/ ip/52.192.0. OrgName: Amazon Technologies Inc. OrgId: AT-88-Z Adresse: 410 Terry Ave N. Stadt: Seattle StateProv: WA Postleitzahl: 98109 Land: US RegDate: 2011-12-08 Updated: 2017 -01-28

Wenn es ein legitimer Bot war, hätte er NICHT versuchen sollen, auf dieses Verzeichnis/blackhole zuzugreifen, da robots.txt dies ausdrücklich untersagte.

Es wurden 52.200.221.20 AbuseIPDB-Berichte in unserer Datenbank gefunden!

Diese IP wurde 49 mal gemeldet. Missbrauchsrisiko liegt bei 43%

Für mich zeigt der Blackhole-Code, dass dies kein legitimes Verhalten ist und dass IP nun vom Zugriff auf die Website ausgeschlossen ist, auf die es abzielt. Wachsamkeit ist also mit Sicherheit oberstes Gebot.

1
kwaka