Nog maar een paar uur geleden was ik mijn logboeken aan het controleren toen ik een heleboel verkeer van IP-adres 54.174.xx.xx en ISP Amazon.com (gevalideerd met Google Analytics). Het duurde een uur en dan lijkt alles normaal.

Dit is iets heel abnormaals. Ik heb het verder onderzocht en ben in de war om te ontdekken dat het niet echt een bot was (nou ja, ik denk het wel) omdat ik gebruikers kan zien (bijvoorbeeld met ip 54.174.59.201) die zelfs op miniaturen hebben geklikt in de zijbalk. Browsers, OS en schermresoluties zijn echter hetzelfde voor alle sessies.

Wat is de oorzaak en wat te doen?

voer de beschrijving van de afbeelding hier in

Reacties

  • Ashburn is de thuisbasis van velen datacenters, en er zijn een paar dingen die u kunt controleren om de aard van het verkeer te achterhalen: bron / medium, bestemmingspagina, netwerkdomein … u ‘ moet probeer hier een patroon te vinden, maar helaas kan het iets zijn dat u ‘ niet kunt vermijden, aangezien het verkeer legitiem zou kunnen zijn.
  • Kan wil je een beetje uitwerken? Bestemmingspaginas variëren per sessie, hoewel 8-10% vergelijkbaar is. Bron / medium is Direct of niet ingesteld. Ik vermoed vals spel voornamelijk omdat er ‘ s te veel sessies zijn met dezelfde browser / OS / resolutie en vergelijkbaar IP.
  • Wat zijn de landingspaginas? In de meeste gevallen, als het de botactiviteit van ‘ is, kunnen de bestemmingspaginas allemaal hetzelfde zijn. Controleer ook de bouncepercentages.
  • @nyuen maakt een geldig punt. Het zou veel beter voor ons zijn om de logboekvermeldingen zelf te zien om u te vertellen wat ze echt van plan zijn. Weet alsjeblieft dat Amazon als ISP erg tolerant is en # 2 is in mijn misbruikdatabase de laatste keer dat ik een audit deed die al een tijdje geleden is. Er zijn velen die Amazon gebruiken om websites te schrapen en te misbruiken. Houd rekening met een werknemer, dit is waarschijnlijk geen gebruiker. Het is waarschijnlijk een machine en daarom veilig om te blokkeren. Ik zet slechts twee netwerken op de zwarte lijst, archive.org en amazon.
  • @closetnoc. Dus is de reden waarom je archive.org en amazon blokkeert – omdat ze effectief een oogje dichtknijpen voor de activiteit van hun klanten op hun netwerk?

Antwoord

We hadden hetzelfde probleem en het bleek Pingdom (website monitoring service) te zijn.

Iemand had het geconfigureerd om onze site elke 5 minuten te pingen en in te loggen, wat resulteerde in duizenden hits per maand van Ashburn, VA met een serviceprovider van Amazon. De tijd op de site was elke keer slechts een fractie van een seconde.

Pingdom stelt voor om bekend botverkeer te blokkeren via een instelling in GA: https://help.pingdom.com/hc/en-us/articles/212979949-What-analytics-will-Pingdom-checks-and-products-trigger –

Reacties

  • We gebruiken Pingdom al een hele tijd maar hebben nog nooit zon probleem gehad!
  • Pingdom legt uit dat: ” Aangezien Pingdom verschillende services heeft, zal het gedrag bij het activeren van verschillende analyses die u op uw site heeft, verschillen. Basis- / uptimecontroles activeren geen analyses die JS gebruiken. ” In ons geval gebruiken we een service die daadwerkelijk inlogt op onze site om te controleren of de verificatie werkt, die wel JS uitvoert en activeert zo onze Google Tag Manager / GA.

Answer

OPMERKING: ik zou mezelf een n00b noemen ontwikkelaar van Down Under.

Met betrekking tot het OP, leidde een Google-zoekopdracht van het onderstaande IP-adres me hierheen.

Als een poging om spam te minimaliseren, stelt u dit slechte bot-blackhole in volgens : https://perishablepress.com/blackhole-bad-bots/

Eerste treffer gerapporteerd door Blackhole, was gedeeltelijk:

Dinsdag 27 november 2018 @ 11:36:37

URL-verzoek: / blackhole / IP-adres: 52.200.221.20 User Agent: Mozilla / 5.0 (Windows NT 6.1) AppleWebKit / 537.2 (KHTML , zoals Gecko) Chrome / 22.0.1216.0 Safari / 537.2

Whois Lookup:

ARIN WHOIS-gegevens en -services zijn onderworpen aan de gebruiksvoorwaarden die beschikbaar zijn op: https://www.arin.net/whois_tou.html Als u onnauwkeurigheden in de resultaten ziet, meld dit dan op https://www.arin.net/resources/whois_reporting/index.html Copyright 1997-2018, American Registry voor Internet Numbers, Ltd.

NetRange: 52.192.0.0 – 52.223.255.255 CIDR: 52.192.0.0/11 Netnaam: AT-88-Z NetHandle: NET-52-192-0-0-1 Ouder : NET52 (NET-52-0-0-0-0) NetType: Directe toewijzing Oorsprong AS:
Organisatie: Amazon Technologies Inc. (AT-88-Z) RegDate: 2015-09-02 Bijgewerkt: 2015-09- 02 Ref: https://rdap.arin.net/registry/ip/52.192.0.0 OrgName: Amazon Technologies Inc. OrgId: AT-88-Z Adres: 410 Terry Ave N .Plaats: Seattle State Prov: WA PostalCode: 98109 Land: US RegDate: 2011-12-08 Bijgewerkt: 2017-01-28

Als het een legitieme bot was, zou het NIET hebben geprobeerd toegang te krijgen tot deze directory / blackhole omdat robots.txt dit specifiek niet toestond.

MisbruikIPDB meldt: 52.200.221.20 is gevonden in onze database!

Dit IP-adres werd 49 keer gerapporteerd. Het vertrouwen in misbruik is 43%

Voor mij laat de blackhole-code zien dat dit geen legitiem gedrag is en nu is IP uitgesloten van toegang tot de site waarop het zich richtte. Waakzaamheid is dus zeker van het grootste belang.

Answer

Waar je hier op moet letten, is dat Amazon niet zomaar een website is maar is ook een cloudserviceprovider en heeft ook een service waarmee gebruikers toegang hebben tot een gevirtualiseerde desktopinterface op het Amazon-netwerk als een externe desktopsessie. Deze specifieke service maakt gebruik van een Windows Server-gateway en dus zijn de desktopresolutie en de OS-vingerafdruk over het algemeen hetzelfde. Het simpelweg laten verschijnen van deze vermeldingen in uw logboeken is niet inherent slecht, tenzij u verkeer ziet dat aangeeft dat ze proberen uw sitebeveiliging te schenden of dat ze de services gebruiken om kwaadaardige acties uit te voeren of spam op uw site te plaatsen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *