Warum registrieren? Nur als registriertes Mitglied vom ABAKUS Forum hast Du vollen Zugriff auf alle Funktionen unserer Website.

Logfile: Auffällige Doppel-Visits von Macintosh und iPhone

Alles zum Thema: Robots, Spider, Logfile-Auswertung und Reports
dark_rider
PostRank 1
PostRank 1
Beiträge: 21
Registriert: 03.11.2009, 12:50

Beitrag von dark_rider » 15.02.2019, 12:57

Hallo zusammen,

seit vielen Monaten beobachte ich im Logfile jeden Tag einen oder mehrere Doppel-Visits, die stets beide auf die Sekunde zum gleichen Zeitpunkt stattfinden:
- Der erste Visit hat als User-Agent stets "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko)", der zweite "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1".
- Die stets wechselnden IPs (bei einem Doppelvisit aber stets beide gleich) stammen ausnahmslos von t-ipconnect.de, nc.de und wtnet.de (alles größere Endkunden-Provider).
- Es wird stets nur die Homepage aufgerufen und nie weiter geklickt.

Weiß hier vielleicht jemand, was es mit diesen obskuren Besuchen auf sich hat?

ABAKUS Anzeige

von ABAKUS Anzeige »





SEO Consulting bei ABAKUS Internet Marketing.
Nutzen Sie unsere jahrelange Erfahrung und lassen Sie sich beraten!
Jetzt anfragen unter: SEO Consulting oder kontaktieren Sie uns direkt unter: 0511 / 300325-0


Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1748
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 15.02.2019, 13:53

Werden denn auch Bilder, Stylesheets, JavaScript-Dateien angefordert, oder nur das HTML?

staticweb
PostRank 9
PostRank 9
Beiträge: 1541
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 15.02.2019, 14:42

> Weiß hier vielleicht jemand, was es mit diesen obskuren Besuchen auf sich hat?

Zeig mal einen anonymisierten Logausschnitt.

heinrich
PostRank 9
PostRank 9
Beiträge: 2849
Registriert: 17.08.2006, 11:26

Beitrag von heinrich » 15.02.2019, 17:13

Vielleicht wollen die nur bookmarken, und du lieferst denen kein Icon:
apple-touch-icon-precomposed.png
apple-touch-icon.png
apple-touch-icon-120x120-precomposed.png
apple-touch-icon-120x120.png

dark_rider
PostRank 1
PostRank 1
Beiträge: 21
Registriert: 03.11.2009, 12:50

Beitrag von dark_rider » 16.02.2019, 09:12

heinrich hat geschrieben:Vielleicht wollen die nur bookmarken, und du lieferst denen kein Icon:
apple-touch-icon-precomposed.png
apple-touch-icon.png
apple-touch-icon-120x120-precomposed.png
apple-touch-icon-120x120.png
Spezielle Apple-Icons gibt es bei mir nicht. Inwiefern könnte das die gleichzeitigen Visits, angeblich von Macintosh und iPhone, bewirken?

heinrich
PostRank 9
PostRank 9
Beiträge: 2849
Registriert: 17.08.2006, 11:26

Beitrag von heinrich » 16.02.2019, 09:40

Was sagen denn die Error-Logs?

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1748
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 16.02.2019, 09:55

Hanzo2012 hat geschrieben:Werden denn auch Bilder, Stylesheets, JavaScript-Dateien angefordert, oder nur das HTML?
Möchtest du meine Frage vielleicht auch beantworten?

dark_rider
PostRank 1
PostRank 1
Beiträge: 21
Registriert: 03.11.2009, 12:50

Beitrag von dark_rider » 17.02.2019, 09:00

Hallo zusammen,

hier mal ein kompletter Log-Auszug eines solchen Doppel-Visits:

84.46.58.x - - [16/Feb/2019:17:54:41 +0100] "GET / HTTP/1.1" 301 231 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko)"
84.46.58.x - - [16/Feb/2019:17:54:41 +0100] "GET / HTTP/2.0" 200 7149 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko)"
84.46.58.x - - [16/Feb/2019:17:54:41 +0100] "GET /apple-touch-icon-precomposed.png HTTP/2.0" 404 230 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /apple-touch-icon.png HTTP/2.0" 404 218 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /favicon.ico HTTP/2.0" 200 2238 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"

84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET / HTTP/1.1" 301 231 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET / HTTP/2.0" 200 7149 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.1"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /apple-touch-icon-precomposed.png HTTP/2.0" 404 230 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /apple-touch-icon.png HTTP/2.0" 404 218 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"
84.46.58.x - - [16/Feb/2019:17:54:42 +0100] "GET /favicon.ico HTTP/2.0" 200 2238 "-" "Safari/14606.4.5 CFNetwork/976 Darwin/18.2.0 (x86_64)"

Das vorhandene und eingebundene CSS wird nicht abgerufen, ebenfalls vorhandene Bilder auch nicht (ausgelagertes JavaScript gibt es dagegen nicht).

dark_rider
PostRank 1
PostRank 1
Beiträge: 21
Registriert: 03.11.2009, 12:50

Beitrag von dark_rider » 18.02.2019, 09:38

Hanzo2012 hat geschrieben:
Hanzo2012 hat geschrieben:Werden denn auch Bilder, Stylesheets, JavaScript-Dateien angefordert, oder nur das HTML?
Möchtest du meine Frage vielleicht auch beantworten?
Ist bereits geschehen!

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1748
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 18.02.2019, 09:39

Also das ist nichts, worüber du dir Gedanken machen solltest.

staticweb
PostRank 9
PostRank 9
Beiträge: 1541
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 18.02.2019, 14:19

Sieht mir aus, als ob es eine Weiterleitung auf HTTPS gäbe. Und da bei letzterem auch HTTP2 unterstützt wird, wechselt auch das Protokoll.

CSS, JS und die Bilder sind wahrscheinlich bereits gecached und werden nicht mit abgerufen.

Bin mir aber nicht zu 100% sicher.

dark_rider
PostRank 1
PostRank 1
Beiträge: 21
Registriert: 03.11.2009, 12:50

Beitrag von dark_rider » 18.02.2019, 16:57

Die Weiterleitung von http auf https ist klar, aber warum immer zur auf die Sekunde gleichen Zeit die beiden verschiedenen User-Agents ohne Abruf von anderen Elementen, die nicht im Cache des Clients sein können, da es von diesem zuvor jeweils keine Visits gab?

Da die IP-Adressen auch immer wechseln und von Endkunden-ISPs stammen sowie niemals etwas anderes als genau ein Mal die Homepage aufgerufen wird, riecht das doch stark nach einem Botnetz, oder zweckentfremdet Apple selbst seine User als Suchmaschinen-Spider?

supervisior
PostRank 9
PostRank 9
Beiträge: 1207
Registriert: 26.06.2006, 09:11
Kontaktdaten:

Beitrag von supervisior » 19.02.2019, 13:23

Geh mal davon aus, dass das irgendwas "maschinengesteuertes" ist. Ein realer Nutzer würde wohl schwer solche Requests produzieren und wie @Hanzo schon angemerkt hat, ist da nichts, was einem Sorgen bereiten müsste, zumal ja immer nur ein Aufruf auf die Startseite erfolgt. Letzteres gibt zumindest den Anlass dazu. Im Zweifelsfalle müsste man die Firewall Logs studieren, die Du aber vermutlich nicht hast?

netzfreak
PostRank 3
PostRank 3
Beiträge: 94
Registriert: 01.01.2009, 17:15

Beitrag von netzfreak » 19.04.2019, 15:32

Hallo zusammen,
dark_rider hat geschrieben: seit vielen Monaten beobachte ich im Logfile jeden Tag einen oder mehrere Doppel-Visits, die stets beide auf die Sekunde zum gleichen Zeitpunkt stattfinden:
Ich habe hier einen ähnlichen Fall. Ich würde aber nicht von "Doppel-Visits" sprechen, sondern eher von "Serien-Visits". Das sieht bei mir wie folgt aus:

- Es erfolgen regelmäßig Zugriffe von Clients mit (angeblichem?) Macintosh-, iPhone- oder iPad-User-Agent, die nur einzelne HTML-Seiten abfragen, ohne eingebaute Grafiken und PHP-Skripte.

- Zudem wird immer auch jeweils versucht, die folgenden (bei mir nicht vorhandenen) Dateien aufzurufen:

/apple-touch-icon-120x120-precomposed.png
/apple-touch-icon-120x120.png
/apple-touch-icon-precomposed.png
/apple-touch-icon.png
/favicon.ico

- Die Besuche selbst erfolgen entweder einzeln oder in "Zweiergruppen" (also zwei parallele Aufrufe mit verschiedenen User-Agents, wie von dark_rider beschrieben). Es kann aber auch sein, daß eine IP-Adresse mit User-Agent 1 eine Unterseite zum Zeitpunkt X aufruft und die gleiche IP mit User-Agent 2 die gleiche Unterseite einige Minuten oder Stunden später. Wiederum Minuten oder Stunden später können erneut User-Agent 1, 2 oder noch weitere User-Agents kommen.

- Die Zugriffe erfolgen immer wieder, von manchen IP-Adressen über mehrere Tage hinweg (vermutlich in Abhängigkeit davon, wie lange ein Internet-Anschluß seine dynamische Dial-In-IP behält).

- Betroffen von den Aufrufen sind die Hauptseite sowie einzelne "ausgesuchte" Unterseiten.

- Eine IP greift jeweils immer nur auf eine bestimmte (Unter-)Seite zu. Die betreffenden (Unter-)Seiten werden aber teilweise von jeweils mehreren IP-Adressen "besucht".

- Es wird nie ein Referrer mitgeschickt.

- Die IP-Adressen stammen von verschiedenen üblichen deutschen Dial-In-Providern, wie z.B. Telekom, Telefonica, QSC und Vodafone. In wenigen Fällen handelt es sich wohl auch um IP-Adressen aus dem Ausland (evtl. VPN?). Firmen- oder Uni-IPs sind bislang nicht auffällig geworden.

- Zugriffe wie auf die Datei "apple-touch-icon-precomposed.png" kommen bei mir praktisch nur bei diesen verdächtigen Besuchern vor. Man kann also mal das Logfile nach Aufrufen dieser Datei durchsuchen und überprüfen, ob die betreffende IP-Adresse sich wie oben beschrieben verhält (insbesondere was regelmäßig wiederkehrende Aufrufe einzelner Seiten betrifft).

Der Grund für diese seltsamen Besuche würde mich auch interessieren. Ich hatte erst vermutet, daß vielleicht ein Nutzer die betreffende (Unter-)Seite in einem offenen Browser-Tab hat und bei einem Neustart des Browsers immer die zuletzt geöffneten Tabs neu lädt. Das würde aber nicht so recht zu den wechselnden User-Agents passen.

Irgendwie erinnert mich die ganze Geschichte an eine frühere Diskussion über geheimnisvolle Besucher bzw. Seitenaufrufe; das damalige Phänomen verschwand aber wohl eines Tages wieder so plötzlich, wie es aufgetaucht war.

Viele Grüße
netzfreak

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag