Sono questi HTTP_REFERER da una bot-net? Sono dannosi? Come dovrei gestirli?

Question

Sono questi HTTP_REFERER da una bot-net? Sono dannosi? Come dovrei gestirli?

0

Stiamo ricevendo un'enorme quantità di richieste che non posso spiegare. Queste richieste vanno tutte a admin.OURWEBSITE.com/api/analyze/ , ma non abbiamo un sottodominio admin e non abbiamo una route api/analyze . Il nostro server restituisce quindi una vista "Questo sottodominio non esiste". È molto irrealistico che tutti questi riferimenti HTTP si riferiscano effettivamente al nostro sito.

Offriamo un SaaS e la nostra configurazione presso il provider DSN è:

https://OURWEBSITE.com e https://www.OURWEBSITE.com → Server # 1 con Wordpress (sito portale / promozione, prezzi, ecc.)
https://info.OURWEBSITE.com → Server # 1 Wordpress (sito FAQ)
tutti gli altri sottodomini ( https://whatever.OURWEBSITE.com ) → Server # 2 (AWS) SaaS con un sottodominio per ogni cliente.

Dettagli della richiesta di esempio:

 'REDIRECT_STATUS' => '200',
  'HTTP_HOST' => 'admin.OURWEBSITE.com',
  'HTTP_ACCEPT' => '*/*',
  'HTTP_ACCEPT_ENCODING' => 'gzip, deflate, br',
  'HTTP_ACCEPT_LANGUAGE' => 'tr-TR,tr;q=0.9,en-US;q=0.8,en;q=0.7',
  'HTTP_CLOUDFRONT_FORWARDED_PROTO' => 'https',
  'HTTP_CLOUDFRONT_IS_DESKTOP_VIEWER' => 'true',
  'HTTP_CLOUDFRONT_IS_MOBILE_VIEWER' => 'false',
  'HTTP_CLOUDFRONT_IS_SMARTTV_VIEWER' => 'false',
  'HTTP_CLOUDFRONT_IS_TABLET_VIEWER' => 'false',
  'HTTP_CLOUDFRONT_VIEWER_COUNTRY' => 'TR',
  'HTTP_REFERER' => 'https://www.sahibinden.com/ilan/vasita-otomobil-peugeot-bakmadan-gecme-550746614/detay',
  'HTTP_USER_AGENT' => 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36',
  'HTTP_VIA' => '1.1 I-THINK-OUR-SEVER.cloudfront.net (CloudFront)',
  'HTTP_X_AMZ_CF_ID' => 'LONG-ID-I-THINK-OUR-SEVER',
  'HTTP_X_FORWARDED_FOR' => '88.230.105.204, PROXY-IP',
  'HTTP_X_FORWARDED_PORT' => '80',
  'HTTP_X_FORWARDED_PROTO' => 'http',
  'HTTP_CONNECTION' => 'keep-alive',
  'PATH' => '/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin',
  'SERVER_SOFTWARE' => 'Apache',
  'SERVER_NAME' => 'OURWEBSITE.com',
  'SERVER_ADDR' => 'INTERNAL-IP',
  'SERVER_PORT' => '80',
  'REMOTE_ADDR' => 'INTERNAL-IP',
  'DOCUMENT_ROOT' => 'ROUTE-TO/public',
  'REQUEST_SCHEME' => 'http',
  'CONTEXT_PREFIX' => '',
  'CONTEXT_DOCUMENT_ROOT' => 'ROUTE-TO/public',
  'SERVER_ADMIN' => '[no address given]',
  'SCRIPT_FILENAME' => 'ROUTE-TO/public/index.php',
  'REMOTE_PORT' => 'SOME-PORT',
  'REDIRECT_URL' => '/api/analyze',
  'REDIRECT_QUERY_STRING' => 'url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=0c525ecf-bb39-8f4e-841f-ab85fd52eb1c',
  'GATEWAY_INTERFACE' => 'CGI/1.1',
  'SERVER_PROTOCOL' => 'HTTP/1.1',
  'REQUEST_METHOD' => 'GET',
  'QUERY_STRING' => 'url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=0c525ecf-bb39-8f4e-841f-ab85fd52eb1c',
  'REQUEST_URI' => '/api/analyze?url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=0c525ecf-bb39-8f4e-841f-ab85fd52eb1c',
  'SCRIPT_NAME' => '/index.php',

Ecco alcune richieste GET (ancora una volta non abbiamo una route /api/analyze ). Il sito nel parametro URL è anche il HTTP_REFERER in ogni caso.

/api/analyze?url=https%3A%2F%2Fwww.nesine.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=e61d24a4-75cc-a324-b2de-a35a04d5e361
/api/analyze?url=https%3A%2F%2Fbo.nesine.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=e61d24a4-75cc-a324-b2de-a35a04d5e361
/api/analyze?url=https%3A%2F%2Foffer.alibaba.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=5b11168a-407c-ee96-9603-587019762bd5
/api/analyze?url=https%3A%2F%2Ftr.gearbest.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=59782ab6-1c5e-14cf-4a0f-d291b8348dac
/api/analyze?url=https%3A%2F%2Fwww.amazon.de%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=766d04c9-4d4b-8c10-5757-9bebaac15249
/api/analyze?url=https%3A%2F%2Fwww.dsmart.com.tr%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=b3cbd8d5-b645-2117-90c3-e6e4c59f5f6d
/api/analyze?url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=5372fa14-6eea-00aa-6404-38643c5ea7d3
/api/analyze?url=https%3A%2F%2Fmsdn.microsoft.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=3f1daef0-2f71-8c19-500c-b4d46a765fdc
/api/analyze?url=https%3A%2F%2Foutlook.office.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=1eece604-f639-a1c5-a463-e10be1f3c653
/api/analyze?url=https%3A%2F%2Fwww.easports.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=60f5dc89-538a-ddf8-478b-fccb34e8713c
/api/analyze?url=https%3A%2F%2Fdeveloper.mozilla.org%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=3f1daef0-2f71-8c19-500c-b4d46a765fdc
/api/analyze?url=https%3A%2F%2Fwww.boyner.com.tr%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=7d0bca7c-363f-03e3-e269-22711fd330fc
/api/analyze?url=http%3A%2F%2Fseen-on-screen.thewhizmarketing.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=b4baf300-e9ae-e111-0a10-5074bea1f9e4
/api/analyze?url=http%3A%2F%2Fistatistik.nesine.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=4de1302d-0f9e-2353-b4e2-1fc633738299
/api/analyze?url=https%3A%2F%2Fwww.penti.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=9983a0ec-af1d-470c-6aa8-8518b2f7f474
/api/analyze?url=https%3A%2F%2Fshareae.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=00f6e6f4-faf6-454f-751a-d61d64046463
/api/analyze?url=https%3A%2F%2Fdeloton.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=b01c16f8-e8eb-0592-48c8-2d997fc920e7
/api/analyze?url=https%3A%2F%2Fwww.hepsiburada.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=241521dc-86cc-a455-82a7-9a6dfee4fd5d
/api/analyze?url=https%3A%2F%2Ftr.aliexpress.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=4de1302d-0f9e-2353-b4e2-1fc633738299
/api/analyze?url=https%3A%2F%2Fwww.n11.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=aeebefff-8682-3d33-cc6c-786aa4af44a8
/api/analyze?url=http%3A%2F%2Fwww.informit.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=3f1daef0-2f71-8c19-500c-b4d46a765fdc
/api/analyze?url=http%3A%2F%2Fusingchoice.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=4de1302d-0f9e-2353-b4e2-1fc633738299

L'UUID è, suppongo, qualche ID utente di Google Analytics? Nota che il parametro tag è sempre lo stesso, z3nno43.

Queste richieste costituiscono l'80% di tutte le richieste, mentre solo il 20% sono utenti legittimi per i sottodomini legittimi del nostro SaaS. Questo mi fa pensare (presupposto infondato) a qualche tipo di bot-net o così? Considerando che un parametro, tag, è sempre lo stesso valore.

Che cos'è? Come gestire queste richieste? Ignora semplicemente? Filtra e restituisci 404?

http spam log-analysis referer

posta MPS 16.04.2018 - 10:52

fonte

0 risposte

Leggi altre domande sui tag http spam log-analysis referer

PKI: come identificare RA e VA in determinati siti Web HTTPS? OpenVPN Traffic Capture