Seltsame Zugriffe: Besucher verhalten sich wie Bots?
Verfasst: 28.10.2013, 11:37
Hallo zusammen,
eine Seite von mir wird seit kurzer Zeit regelmäßig von seltsamen Besuchern heimgesucht. Das Ganze zu beschreiben, ist etwas kompliziert - ich versuche es mal wie folgt zu erklären:
1.) Innerhalb eines kurzen Zeitraums von (meist) wenigen Sekunden bis (seltener) wenigen Minuten erfolgen scheinbar koordiniert Zugriffe von verschiedenen IPs aus üblichen Dialin-Pools diverser deutscher DSL-Provider. Der Spuk dauert immer nur sehr kurz, danach ist wieder für einige Stunden Ruhe.
2.) Die Zugriffe scheinen untereinander zusammenzuhängen, denn wenn z.B. eine Unterseite von IP-Adresse X aufgerufen wird, kann es sein, daß (nur) dort befindliche Links auf andere Unterseiten oder irgendwelche PHP-Skripts kurz darauf von IP-Adresse Y oder IP-Adresse Z aufgerufen werden.
3.) Unter den einzelnen IPs scheinen verschiedene Clients und sogar verschiedene Betriebssysteme zu laufen. Teilweise gibt es Zugriffe, wo eine IP-Adresse (fast) gleichzeitig mit Browser 1 unter Windows und Browser 2 unter Linux Seiten abruft. Das sieht ähnlich aus, wie wenn sich mehrere Nutzer/Rechner einen DSL-Zugang über einen Router teilen. Das kann aber natürlich auch bedeuten, daß einfach irgendwelche beliebigen HTTP-Useragents gefaked werden.
4.) Die IP-Adressen wechseln von Zugriffswelle zu Zugriffswelle, so wie auch jeder normale Internet-Nutzer seine IP wechselt. Die Pools bleiben aber immer ähnlich. Es sieht also ähnlich aus, wie wenn eine Hand voll Nutzer regelmäßig und gleichzeitig von ihren Privatkunden-Anschlüssen auf die Seite zugreifen. Ich glaube aber nicht an "normale" Nutzer, denn zum einen gibt es die unter 2.) und 3.) genannten Besonderheiten, zudem greift eine IP teilweise gleichzeitig auf mehrere unterschiedliche Unterseiten zu. So wild kann aber kein Mensch auf meiner Seite "herumklicken".
5.) Es werden nie HTTP-Referrer übergeben. Weder beim Erstzugriff, noch bei den Folgezugriffen.
6.) Robots.txt wird nicht abgefragt.
7.) Bei Unterseiten, die nicht mehr existieren, aber noch irgendwo verlinkt sind, wird besonders gerne "nachgehakt" und es stürzen sich mehrere IPs wechselseitig drauf.
8.) Es gibt keinerlei Zugriffe auf irgendwelche speziellen Admin-URLs o.ä. Es sieht also nicht nach einer der üblichen Scan-Wellen aus, wo nach Lücken bei PHP-Foren o.ä. gesucht wird. Es werden nur "normale" Seiten und dort verlinkte PHP-Skripts (die z.B. für Linkmaskierung eingesetzt werden) aufgerufen.
Fazit:
Wie gesagt, an "normale" Nutzer mag ich bei diesem Zugriffsprofil nicht glauben. Vielleicht irgendwelche Spezial-Bots? Aber dazu kommt mir das Zugriffsverhalten zu wirr vor. Hoffentlich war mein Posting jetzt nicht auch zu wirr...
Irgendwelche Ideen, was sich hinter der ganzen Sache verbergen könnte? Oder ist das ein Fall für Akte X?
Viele Grüße
netzfreak
eine Seite von mir wird seit kurzer Zeit regelmäßig von seltsamen Besuchern heimgesucht. Das Ganze zu beschreiben, ist etwas kompliziert - ich versuche es mal wie folgt zu erklären:
1.) Innerhalb eines kurzen Zeitraums von (meist) wenigen Sekunden bis (seltener) wenigen Minuten erfolgen scheinbar koordiniert Zugriffe von verschiedenen IPs aus üblichen Dialin-Pools diverser deutscher DSL-Provider. Der Spuk dauert immer nur sehr kurz, danach ist wieder für einige Stunden Ruhe.
2.) Die Zugriffe scheinen untereinander zusammenzuhängen, denn wenn z.B. eine Unterseite von IP-Adresse X aufgerufen wird, kann es sein, daß (nur) dort befindliche Links auf andere Unterseiten oder irgendwelche PHP-Skripts kurz darauf von IP-Adresse Y oder IP-Adresse Z aufgerufen werden.
3.) Unter den einzelnen IPs scheinen verschiedene Clients und sogar verschiedene Betriebssysteme zu laufen. Teilweise gibt es Zugriffe, wo eine IP-Adresse (fast) gleichzeitig mit Browser 1 unter Windows und Browser 2 unter Linux Seiten abruft. Das sieht ähnlich aus, wie wenn sich mehrere Nutzer/Rechner einen DSL-Zugang über einen Router teilen. Das kann aber natürlich auch bedeuten, daß einfach irgendwelche beliebigen HTTP-Useragents gefaked werden.
4.) Die IP-Adressen wechseln von Zugriffswelle zu Zugriffswelle, so wie auch jeder normale Internet-Nutzer seine IP wechselt. Die Pools bleiben aber immer ähnlich. Es sieht also ähnlich aus, wie wenn eine Hand voll Nutzer regelmäßig und gleichzeitig von ihren Privatkunden-Anschlüssen auf die Seite zugreifen. Ich glaube aber nicht an "normale" Nutzer, denn zum einen gibt es die unter 2.) und 3.) genannten Besonderheiten, zudem greift eine IP teilweise gleichzeitig auf mehrere unterschiedliche Unterseiten zu. So wild kann aber kein Mensch auf meiner Seite "herumklicken".
5.) Es werden nie HTTP-Referrer übergeben. Weder beim Erstzugriff, noch bei den Folgezugriffen.
6.) Robots.txt wird nicht abgefragt.
7.) Bei Unterseiten, die nicht mehr existieren, aber noch irgendwo verlinkt sind, wird besonders gerne "nachgehakt" und es stürzen sich mehrere IPs wechselseitig drauf.
8.) Es gibt keinerlei Zugriffe auf irgendwelche speziellen Admin-URLs o.ä. Es sieht also nicht nach einer der üblichen Scan-Wellen aus, wo nach Lücken bei PHP-Foren o.ä. gesucht wird. Es werden nur "normale" Seiten und dort verlinkte PHP-Skripts (die z.B. für Linkmaskierung eingesetzt werden) aufgerufen.
Fazit:
Wie gesagt, an "normale" Nutzer mag ich bei diesem Zugriffsprofil nicht glauben. Vielleicht irgendwelche Spezial-Bots? Aber dazu kommt mir das Zugriffsverhalten zu wirr vor. Hoffentlich war mein Posting jetzt nicht auch zu wirr...
Irgendwelche Ideen, was sich hinter der ganzen Sache verbergen könnte? Oder ist das ein Fall für Akte X?
Viele Grüße
netzfreak
? Zumal alleine die Abfrage der geo-daten zur IP nicht so ohne weiteres in einer mod_rewrite zu erledigen ist.