it-swarm.com.de

Was bedeutet das Hinzufügen von p-, subid- und uid-Variablen zur Abfragezeichenfolge einer Site-URL?

Auf einer unserer Websites werden täglich ca. 100 Sitzungen mit einer Abfragezeichenfolge wie der folgenden angezeigt:

?p=1471086892&subid=526&uid=48752857D549575A

Jeder hat den gleichen Wert für "p", aber eine andere "Subid" und "Uid".

Ich versuche herauszufinden, woher diese Variablen kommen.

Ich habe die Zugriffsprotokolle und Google Analytics überprüft und festgestellt, dass 98% der Zugriffe neu sind und der Referrer als unsere eigene Website gemeldet wird, obwohl das Zugriffsprotokoll die erste Seitenanforderung für die IP angibt.

Unsere Website verwendet diese Variablen nicht. Woher sie kommen, ist ein Rätsel.

Ich habe die Möglichkeit untersucht, dass die Variablen mit einem Cookie oder Tracking-Ereignis aus einer Anzeige oder einem Analysedienst zusammenhängen. Ich habe noch keine Beweise gefunden, die diese Hypothese bestätigen.

Die Tatsache, dass die Überweisung maskiert oder gefälscht wird, lässt mich fragen, ob es sich um ein Botnet handelt. Meine Vermutungen in Bezug auf dieses Problem nahmen zu, als ich bemerkte, dass der Datenverkehr gleichmäßig auf die Seiten der Site verteilt war. Es hat eine gleichmäßige Absprungrate und eine gleichmäßige Seitenzeit von fast genau 1 Minute. es greift häufiger als gewöhnlich auf kleinere Navigationselemente (d. h. Datenschutzseite) zu; und zuletzt gibt es keine gemeinsame ip oder user agent.

Als ich den UID-Teil der Abfragezeichenfolge googelte, fand ich andere Websites mit derselben Abfragezeichenfolge mit einem anderen p-Wert. Hier sind einige Beispiele:

http://www.aikiweb.com/index.html?p=1470451589&subid=999&uid=AE1D5F14EEC420BA
http://www.kiro7.com/?p=1470425109&subid=616&uid=2D6F158100C33AEE
http://www.fox23.com/?p=1470412751&subid=703&uid=DEF705E09B5A3DFA
http://www.wpxi.com/?p=1470334006&subid=703&uid=DEF705E09B5A3DFA

Es ist also nicht einzigartig für uns. Ich habe unter jeden Stein geschaut, an den ich denken kann, und wende mich an die Gemeinde, um Hilfe zu erhalten. Ist das schon mal jemandem begegnet? Haben Sie irgendwelche Gedanken zu anderen Dingen, die ich untersuchen könnte, die eine Antwort auf die Ursachen liefern könnten?

---- 27.05.17 Update ----

Wir haben damit begonnen, den Datenverkehr, der dem Muster entspricht, auf eine Seite mit einem Captcha umzuleiten. Einen Monat später sind über 6.000 Sitzungen, die diesem Muster entsprechen, auf diese Seite gegangen. Keiner hat das Captcha bestanden. Dies scheint keine menschliche Aktivität zu sein.

Wenn Sie die Analyse Ihrer Website auf Zugriffe überprüfen möchten, die mit diesem Muster übereinstimmen, können Sie den folgenden regulären Ausdruck für die Zielseite verwenden: p=(\d{10})&subid=(\d{3})&uid=([A-Z\d]{16})

3
PeterA

Diese werden alle zum Verfolgen von URLs verwendet.

Eine SubID ist eine Zeichenfolge aus alphanumerischen Zeichen, die am Ende einer Umleitungs-URL generiert wird, die eine benutzerdefinierte Variable aufzeichnet. Die UID ist ein eindeutiger Bezeichner. Überprüfen Sie, ob Sie ein Partnerprogramm haben

2

Habe auch eine große Anzahl davon gesehen. Erfasste Hunderte von Treffern ohne eine einzige Interaktion auf einer Website mit einer typischen Absprungrate von weniger als 10%. Es ist ein Roboter.

Es gibt keine einzige IP, aber sie scheinen alle in den USA ansässig zu sein. Vor ein paar Wochen war es ziemlich selten. Jetzt kann ich ein paar hundert Treffer pro Stunde erzielen. Wenn es ein Virus ist, wird es allmählich größer.

Wäre gespannt, wenn jemand Informationen dazu hat.

0
Harry