Qualcuno può dirmi cosa sta succedendo con due serie di strani visitatori del sito web?

Naviga le tue risposte
0

Il nostro sito Web è afflitto da misteriosi "visitatori" che non ottengono costantemente oltre la home page. Tutti questi "visitatori" hanno indirizzi IP che iniziano con 138.197 tramite Digital Ocean. I restanti numeri IP variano, tutti i "visitatori" vengono mostrati come provenienti da Wilmington, Delaware, senza referrer. I browser e i sistemi operativi variano. Gli indirizzi IP dello scorso mese sono: 

138.197.11.136
138.197.111.36
138.197.111.102
138.197.111.122
138.197.111.50
138.197.6.74
138.197.111.84
138.197.71.243
138.197.96.249
138.197.111.31

Molti di questi fanno più "visite" in un giorno o una settimana. Sarei felice di far smettere di chiunque si trovi dietro queste pseudo visite

Non sono a conoscenza di alcun seguito di "culto", men che meno a Wilmington, in Germania. Sono consapevole che l'FBI ha una filiale lì. C'è un modo per sapere se questo è un bizzarro governo spionaggio? Non c'è assolutamente nulla di interessante per loro sul sito, men che meno sulla home page, quindi non posso immaginare perché si sarebbero presi la briga di fare spesso visite inutili usando diversi computer.

Permettetemi di aggiungere a questo punto che il mio sito è stato più volte scansionato per malware o blacklist e nessuno è mai stato trovato. Le scansioni per malware e blacklist vengono eseguite quotidianamente. Di conseguenza, il mio sito web non ha assolutamente nulla a che fare con qualsiasi cosa o chiunque stia facendo queste bizzarre visite. Allo stesso modo, il mio PC è in esecuzione Kaspersky, è stato per anni, ed è anche scansionato quotidianamente.

E per aggiungere al mistero, recentemente ci sono state un certo numero di visite in cui sono state registrate poche informazioni sul visitatore. Le mie statistiche mostrano un punto interrogativo per quasi tutti i campi, ad eccezione dell'indirizzo IP e del luogo di origine. Tutte queste visite più recenti provengono da Houston, Texas, Stati Uniti e iniziano con 34. . . * Ma i numeri successivi sono sempre diversi. Ecco un elenco di questi IP: 

34.250.99.222
34.252.124.230
34.240.95.112
34.240.26.189
34.250.6.11
34.253.0.71

Nessuna delle visite di questi misteriosi visitatori è così numerosa da essere un qualsiasi tipo di attacco DOS, quindi non posso indovinare di cosa si tratta.

Qualcuno sa cosa sta succedendo con questi due fenomeni?

Grazie.

    
posta user6318597 12.09.2017 - 22:35
fonte

2 risposte

6

Probabilmente solo alcuni crawler, bot, niente di cui preoccuparsi. Assicurati che il tuo sito web sia sicuro e non ci siano perdite di dati.

Dalla mia esperienza ho visto che molti proprietari di siti Web sono semplicemente incuranti dei loro dati, quindi è facile trovare dati sensibili sul loro sito web.

Soprattutto dai un'occhiata se alcuni di questi tipi di file sono disponibili pubblicamente:

*.sql, *.log, *.bak, *.old ecc.

Esegui: 

find . -type f -name "*.sql"

Che controllare su Google: 

site:yourwebsite.com ext:sql

Utilizza Google Alerts , ti avviserà se uno qualsiasi dei tuoi dati sensibili viene visualizzato nelle ricerche di Google.

    
risposta data 13.09.2017 - 07:32
fonte
0

Vorrei prendere provvedimenti per bloccare questi dinamicamente usando Fail2Ban ( link ).

Questi non sono solo potenzialmente dannosi, ma stanno risucchiando la tua larghezza di banda. Il fatto che non abbiano referrer li renderà facili da filtrare e bloccare.

Una strategia di filtro decente sarebbe quella di verificare referente, agente utente, tipo di richiesta, frequenza di richiesta e indirizzo IP. Combinali per creare qualcosa che bloccherà / interromperà temporaneamente le richieste degli IP che bombardano il tuo server.

    
risposta data 13.09.2017 - 11:19
fonte

Leggi altre domande sui tag

Informazioni sullo smaltimento sicuro SSD per conformità a iso27001 Accedi senza password usando SSH, conoscendo authorized_keys?