Estoy ejecutando Opencart, un CMS de comercio electrónico en un sitio web público.
Hace aproximadamente una semana noté un aumento decente en el tráfico directo en Google Analytics (lo que significa que estos usuarios ingresan mi URL directamente en lugar de ser referidos orgánicamente o a través de las redes sociales) en un solo día. Al día siguiente el tráfico volvió a la normalidad. Esto fue bastante extraño, y encontré que la mayoría de estos usuarios eran de los Estados Unidos y algunos de Francia / Alemania. Mi sitio presta servicios a clientes en otro país, por lo que este tráfico me pareció extraño, pero no lo pensé demasiado.
Sin embargo, más recientemente, un grupo de nuevos clientes se han registrado con el mismo nombre usando diferentes direcciones de correo electrónico y diferentes direcciones IP. Había 5 en una fila, cada 1-3 horas de diferencia. Nuevamente, esto es inusual, nunca ha sucedido antes en este sitio. En ese momento pensé que estaba bien, tal vez me estén enviando spam, aunque el rendimiento del sitio ha estado bien desde que comenzó.
Lo que me asustó fue el registro más reciente. Esta persona estableció su nombre en " DbLks Trackr " y tenía una dirección de correo electrónico similar. Luego miré las direcciones IP de todos estos registros, el más reciente y los que tienen el mismo nombre. La mayoría son proxies, dos son ucranianos y uno es estadounidense.
Estoy pensando que mi URL ha sido publicada en algún foro o IRC y la gente está planeando probar y tomar la base de datos, por eso se están registrando.
No es una tienda de comercio electrónico muy grande, así que no pensé que realmente fuera un objetivo. Estoy bastante seguro de que mi propia PC no está infectada, pero mi versión de Opencart no se ha actualizado en mucho tiempo.
¿Qué está pasando aquí? ¿Es probable que puedan acceder a mi base de datos a través de una inyección SQL u otros medios? ¿O es probable que sea un arrastre inofensivo?
ACTUALIZACIÓN: el tráfico de proxy está sondeando mi sitio, mirando archivos js y de imagen. Parece un bot o bots que buscan una vulnerabilidad o la página de administración.