Seite 1 von 1

Logfile: Auffällige Doppel-Visits von Macintosh und iPhone

Verfasst: 15.02.2019, 12:57
von dark_rider
Hallo zusammen,

seit vielen Monaten beobachte ich im Logfile jeden Tag einen oder mehrere Doppel-Visits, die stets beide auf die Sekunde zum gleichen Zeitpunkt stattfinden:
- Der erste Visit hat als User-Agent stets "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko)", der zweite "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1".
- Die stets wechselnden IPs (bei einem Doppelvisit aber stets beide gleich) stammen ausnahmslos von t-ipconnect.de, nc.de und wtnet.de (alles größere Endkunden-Provider).
- Es wird stets nur die Homepage aufgerufen und nie weiter geklickt.

Weiß hier vielleicht jemand, was es mit diesen obskuren Besuchen auf sich hat?

Verfasst:
von

Verfasst: 15.02.2019, 13:53
von Hanzo2012
Werden denn auch Bilder, Stylesheets, JavaScript-Dateien angefordert, oder nur das HTML?

Verfasst: 15.02.2019, 14:42
von staticweb
> Weiß hier vielleicht jemand, was es mit diesen obskuren Besuchen auf sich hat?

Zeig mal einen anonymisierten Logausschnitt.

Verfasst: 15.02.2019, 17:13
von heinrich
Vielleicht wollen die nur bookmarken, und du lieferst denen kein Icon:
apple-touch-icon-precomposed.png
apple-touch-icon.png
apple-touch-icon-120x120-precomposed.png
apple-touch-icon-120x120.png

Verfasst: 16.02.2019, 09:12
von dark_rider
heinrich hat geschrieben:Vielleicht wollen die nur bookmarken, und du lieferst denen kein Icon:
apple-touch-icon-precomposed.png
apple-touch-icon.png
apple-touch-icon-120x120-precomposed.png
apple-touch-icon-120x120.png
Spezielle Apple-Icons gibt es bei mir nicht. Inwiefern könnte das die gleichzeitigen Visits, angeblich von Macintosh und iPhone, bewirken?

Verfasst: 16.02.2019, 09:40
von heinrich
Was sagen denn die Error-Logs?

Verfasst: 16.02.2019, 09:55
von Hanzo2012
Hanzo2012 hat geschrieben:Werden denn auch Bilder, Stylesheets, JavaScript-Dateien angefordert, oder nur das HTML?
Möchtest du meine Frage vielleicht auch beantworten?

Verfasst: 17.02.2019, 09:00
von dark_rider
Hallo zusammen,

hier mal ein kompletter Log-Auszug eines solchen Doppel-Visits:

84.46.58.x - - [16/Feb/2019:17:54:41 +0100] "GET / HTTP/1.1" 301 231 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko)"
84.46.58.x - - [16/Feb/2019:17:54:41 +0100] "GET / HTTP/2.0" 200 7149 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko)"
84.46.58.x - - [16/Feb/2019:17:54:41 +0100] "GET /apple-touch-icon-precomposed.png HTTP/2.0" 404 230 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /apple-touch-icon.png HTTP/2.0" 404 218 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /favicon.ico HTTP/2.0" 200 2238 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"

84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET / HTTP/1.1" 301 231 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET / HTTP/2.0" 200 7149 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /apple-touch-icon-precomposed.png HTTP/2.0" 404 230 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /apple-touch-icon.png HTTP/2.0" 404 218 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /favicon.ico HTTP/2.0" 200 2238 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"

Das vorhandene und eingebundene CSS wird nicht abgerufen, ebenfalls vorhandene Bilder auch nicht (ausgelagertes JavaScript gibt es dagegen nicht).

Verfasst: 18.02.2019, 09:38
von dark_rider
Hanzo2012 hat geschrieben:
Hanzo2012 hat geschrieben:Werden denn auch Bilder, Stylesheets, JavaScript-Dateien angefordert, oder nur das HTML?
Möchtest du meine Frage vielleicht auch beantworten?
Ist bereits geschehen!

Verfasst: 18.02.2019, 09:39
von Hanzo2012
Also das ist nichts, worüber du dir Gedanken machen solltest.

Verfasst: 18.02.2019, 14:19
von staticweb
Sieht mir aus, als ob es eine Weiterleitung auf HTTPS gäbe. Und da bei letzterem auch HTTP2 unterstützt wird, wechselt auch das Protokoll.

CSS, JS und die Bilder sind wahrscheinlich bereits gecached und werden nicht mit abgerufen.

Bin mir aber nicht zu 100% sicher.

Verfasst: 18.02.2019, 16:57
von dark_rider
Die Weiterleitung von http auf https ist klar, aber warum immer zur auf die Sekunde gleichen Zeit die beiden verschiedenen User-Agents ohne Abruf von anderen Elementen, die nicht im Cache des Clients sein können, da es von diesem zuvor jeweils keine Visits gab?

Da die IP-Adressen auch immer wechseln und von Endkunden-ISPs stammen sowie niemals etwas anderes als genau ein Mal die Homepage aufgerufen wird, riecht das doch stark nach einem Botnetz, oder zweckentfremdet Apple selbst seine User als Suchmaschinen-Spider?

Verfasst: 19.02.2019, 13:23
von supervisior
Geh mal davon aus, dass das irgendwas "maschinengesteuertes" ist. Ein realer Nutzer würde wohl schwer solche Requests produzieren und wie @Hanzo schon angemerkt hat, ist da nichts, was einem Sorgen bereiten müsste, zumal ja immer nur ein Aufruf auf die Startseite erfolgt. Letzteres gibt zumindest den Anlass dazu. Im Zweifelsfalle müsste man die Firewall Logs studieren, die Du aber vermutlich nicht hast?

Re: Logfile: Auffällige Doppel-Visits von Macintosh und iPho

Verfasst: 19.04.2019, 15:32
von netzfreak
Hallo zusammen,
dark_rider hat geschrieben: seit vielen Monaten beobachte ich im Logfile jeden Tag einen oder mehrere Doppel-Visits, die stets beide auf die Sekunde zum gleichen Zeitpunkt stattfinden:
Ich habe hier einen ähnlichen Fall. Ich würde aber nicht von "Doppel-Visits" sprechen, sondern eher von "Serien-Visits". Das sieht bei mir wie folgt aus:

- Es erfolgen regelmäßig Zugriffe von Clients mit (angeblichem?) Macintosh-, iPhone- oder iPad-User-Agent, die nur einzelne HTML-Seiten abfragen, ohne eingebaute Grafiken und PHP-Skripte.

- Zudem wird immer auch jeweils versucht, die folgenden (bei mir nicht vorhandenen) Dateien aufzurufen:

/apple-touch-icon-120x120-precomposed.png
/apple-touch-icon-120x120.png
/apple-touch-icon-precomposed.png
/apple-touch-icon.png
/favicon.ico

- Die Besuche selbst erfolgen entweder einzeln oder in "Zweiergruppen" (also zwei parallele Aufrufe mit verschiedenen User-Agents, wie von dark_rider beschrieben). Es kann aber auch sein, daß eine IP-Adresse mit User-Agent 1 eine Unterseite zum Zeitpunkt X aufruft und die gleiche IP mit User-Agent 2 die gleiche Unterseite einige Minuten oder Stunden später. Wiederum Minuten oder Stunden später können erneut User-Agent 1, 2 oder noch weitere User-Agents kommen.

- Die Zugriffe erfolgen immer wieder, von manchen IP-Adressen über mehrere Tage hinweg (vermutlich in Abhängigkeit davon, wie lange ein Internet-Anschluß seine dynamische Dial-In-IP behält).

- Betroffen von den Aufrufen sind die Hauptseite sowie einzelne "ausgesuchte" Unterseiten.

- Eine IP greift jeweils immer nur auf eine bestimmte (Unter-)Seite zu. Die betreffenden (Unter-)Seiten werden aber teilweise von jeweils mehreren IP-Adressen "besucht".

- Es wird nie ein Referrer mitgeschickt.

- Die IP-Adressen stammen von verschiedenen üblichen deutschen Dial-In-Providern, wie z.B. Telekom, Telefonica, QSC und Vodafone. In wenigen Fällen handelt es sich wohl auch um IP-Adressen aus dem Ausland (evtl. VPN?). Firmen- oder Uni-IPs sind bislang nicht auffällig geworden.

- Zugriffe wie auf die Datei "apple-touch-icon-precomposed.png" kommen bei mir praktisch nur bei diesen verdächtigen Besuchern vor. Man kann also mal das Logfile nach Aufrufen dieser Datei durchsuchen und überprüfen, ob die betreffende IP-Adresse sich wie oben beschrieben verhält (insbesondere was regelmäßig wiederkehrende Aufrufe einzelner Seiten betrifft).

Der Grund für diese seltsamen Besuche würde mich auch interessieren. Ich hatte erst vermutet, daß vielleicht ein Nutzer die betreffende (Unter-)Seite in einem offenen Browser-Tab hat und bei einem Neustart des Browsers immer die zuletzt geöffneten Tabs neu lädt. Das würde aber nicht so recht zu den wechselnden User-Agents passen.

Irgendwie erinnert mich die ganze Geschichte an eine frühere Diskussion über geheimnisvolle Besucher bzw. Seitenaufrufe; das damalige Phänomen verschwand aber wohl eines Tages wieder so plötzlich, wie es aufgetaucht war.

Viele Grüße
netzfreak