Es sind keine Proxys, sondern normale Internetanschlüsse von Endkunden (deren Rechner gehackt wurde). Auch mit User Agent würdest du nichts erkennen. Es sind ganz stinknormale User Agents, z. B.:
Code: Alles auswählen
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36
Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.32 Safari/537.36
Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.10 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.32 Safari/537.36
Auffällig ist nur, dass es immer Chrome auf Windows ist. Das liegt wohl daran, dass die Sicherheitslücke, die genutzt wurde, um die Rechner zu hacken, spezifisch für Chrome und Windows ist. Außerdem scheinen alle aus den USA zu kommen.
Stell dir vor, dein Rechner wird gehackt - wie auch immer - und jemand installiert darauf Software, mit der mit Hilfe deines Browsers andere Seiten angegriffen werden. Genau das passiert hier, denke ich. Da hast du überhaupt keine Chance, wenn du dir nur IPs und User Agents anguckst, weil die einfach "ganz normal" sind. Die Leute, von deren Rechner aus der Angriff stattfindet, wissen höchstwahrscheinlich gar nichts davon.