Bare et par timer tilbage kontrollerede jeg mine logfiler, da jeg fandt en hel masse trafik fra IP-adresse 54.174.xx.xx og ISP Amazon.com (valideret fra Google analytics). Det varede i en time, og så virker alting normalt.
Dette er noget meget unormalt. Jeg undersøgte yderligere og er forvirret over at finde ud af, at det ikke var en bot (det tror jeg vel), fordi jeg kan se brugere (for eksempel med ip 54.174.59.201) har endda klikket på miniaturer i sidebjælken. Men browsere, OS og skærmopløsninger er ens for alle sessioner.
Hvad er årsagen, og hvad skal man gøre?
Kommentarer
- Ashburn er hjemsted for mange datacentre, og der er et par ting, du kan tjekke for at prøve at bestemme trafiktypen: kilde / medium, landingsside, netværksdomæne … du ' skal prøv at finde et mønster her, men desværre kan det være noget, du ikke vil ' ikke være i stand til at undgå, da trafikken kan være legitim.
- Kan du uddyber lidt? Landingssider varierer med session, selvom 8-10% er ens. Kilde / medium er direkte eller ikke indstillet. Jeg formoder, at der er dårligt spil, hovedsageligt fordi der ' er for mange sessioner med samme browser / OS / opløsning og lignende IP.
- Hvad er destinationssiderne? I de fleste tilfælde, hvis det ' s botaktivitet, er destinationssiderne muligvis alle de samme. Kontroller også afvisningsfrekvenser.
- @nyuen gør et gyldigt punkt. Det ville være langt bedre for os at se selve logposterne for at fortælle dig, hvad de virkelig holder på med. Vær opmærksom på, at Amazon som ISP er meget tilladelig og er nr. 2 i min misbrugsdatabase sidste gang jeg foretog en revision, der har været for et stykke tid siden. Der er mange, der bruger Amazon til at skrabe og misbruge websteder. Husk kort på en medarbejder, dette er sandsynligvis ikke en bruger. Det er sandsynligvis en maskine og derfor sikkert at blokere. Jeg sortlister kun to netværk, archive.org og amazon.
- @closetnoc, så er det grunden til, at du blokerer archive.org og amazon – fordi de effektivt vender det blinde øje for deres kunders aktivitet på deres netværk?
Svar
Vi havde det samme problem, og det viste sig at være Pingdom (webstedsovervågningstjeneste).
Nogen havde konfigureret det til at pinge vores site hvert 5. minut og logge ind, hvilket resulterede i tusinder af hits pr. måned fra Ashburn, VA med en tjenesteudbyder af Amazon. Tid på stedet var kun en brøkdel af et sekund hver gang.
Pingdom foreslår at aktivere blokering af kendt bot-trafik via en indstilling i GA: https://help.pingdom.com/hc/en-us/articles/212979949-What-analytics-will-Pingdom-checks-and-products-trigger –
Kommentarer
- Vi har brugt Pingdom i lang tid, men aldrig haft et sådant problem!
- Pingdom forklarer, at: " Da Pingdom har forskellige tjenester, vil adfærden ved udløsning af forskellige analyser, du måtte have på dit websted, variere. Grundlæggende / Uptime-kontrol udløser ikke nogen analyser, der bruger JS. " I vores tilfælde bruger vi en tjeneste, der faktisk logger ind på vores websted for at bekræfte, at godkendelse fungerer, som udfører JS og udløser således vores Google Tag Manager / GA.
Svar
BEMÆRK: Jeg vil kalde mig selv en n00b udvikler fra Down Under.
I forhold til OP fører en Google-søgning af nedenstående IP mig hertil.
Som et forsøg på at minimere spam skal du opsætte dette dårlige bot blackhole pr. : https://perishablepress.com/blackhole-bad-bots/
Første hit rapporteret af Blackhole var til dels:
Tirsdag 27. november 2018 @ 11:36:37
URL-anmodning: / blackhole / IP-adresse: 52.200.221.20 Brugeragent: Mozilla / 5.0 (Windows NT 6.1) AppleWebKit / 537.2 (KHTML , som Gecko) Chrome / 22.0.1216.0 Safari / 537.2
Whois-opslag:
ARIN WHOIS data og tjenester er underlagt vilkårene for brug tilgængelig på: https://www.arin.net/whois_tou.html Hvis du ser unøjagtigheder i resultaterne, bedes du rapportere på https://www.arin.net/resources/whois_reporting/index.html Copyright 1997-2018, American Registry til Internetnumre, Ltd.
NetRange: 52.192.0.0 – 52.223.255.255 CIDR: 52.192.0.0/11 Netnavn: AT-88-Z NetHandle: NET-52-192-0-0-1 Forælder : NET52 (NET-52-0-0-0-0) NetType: Direct Allocation OriginAS:
Organisation: Amazon Technologies Inc. (AT-88-Z) RegDate: 2015-09-02 Opdateret: 2015-09- 02 Ref: https://rdap.arin.net/registry/ip/52.192.0.0 OrgName: Amazon Technologies Inc. OrgId: AT-88-Z Adresse: 410 Terry Ave N .By: Seattle StateProv: WA Postnummer: 98109 Land: US RegDate: 2011-12-08 Opdateret: 2017-01-28
Hvis det var en legit bot, skulle den IKKE har forsøgt at få adgang til denne mappe / blackhole, fordi robots.txt specifikt ikke tillod dette.
Misbrug af IPDB: 52.200.221.20 blev fundet i vores database!
Denne IP blev rapporteret 49 gange. Tillid til misbrug er 43%
For mig viser blackhole-koden, at dette ikke er legitim opførsel, og nu er IP forbudt at få adgang til det websted, det målrettede mod. Så årvågenhed er bestemt altafgørende.
Svar
Det du skal være forsigtig med her er, at Amazon ikke bare er et websted udbyder, men er også en cloudtjenesteudbyder og har også en tjeneste, hvorved brugere kan få adgang til en virtualiseret desktop-interface på Amazon-netværket som en ekstern desktop-session. Denne særlige tjeneste bruger en Windows Server-gateway, og så er desktopopløsningen og OS-fingeraftryk generelt det samme. Det er ikke i sig selv en dårlig ting, at disse poster vises i dine logfiler, medmindre du ser trafik, der indikerer, at de forsøger at krænke dit websteds sikkerhed, eller at de bruger tjenesterne til at udføre ondsindede handlinger eller spamming på dit websted.