¿Puede alguien decirme qué está pasando con dos grupos de visitantes de sitios web extraños?

Navega tus respuestas
0

Nuestro sitio web está plagado de misteriosos 'visitantes' que constantemente obtienen más que la página de inicio. Todos estos 'visitantes' tienen direcciones IP que comienzan con 138.197 a través de Digital Ocean. Los números de IP restantes varían, todos los "visitantes" se muestran como provenientes de Wilmington, Delaware, sin referencia. Los navegadores y sistemas operativos varían. Las direcciones IP del mes pasado son: 

138.197.11.136
138.197.111.36
138.197.111.102
138.197.111.122
138.197.111.50
138.197.6.74
138.197.111.84
138.197.71.243
138.197.96.249
138.197.111.31

Muchos de estos realizan múltiples 'visitas' en un día o una semana determinada. Me encantaría poder detener a quien esté detrás de estas pseudo visitas

No tengo conocimiento de ningún "culto" de seguidores, menos aún en Wilmington, DE. Soy consciente de que el FBI tiene una sucursal allí. ¿Hay alguna manera de saber si se trata de una extraña investigación del gobierno? No hay absolutamente nada de interés para ellos en el sitio, y mucho menos en la página de inicio, así que no puedo adivinar por qué se estarían molestando en hacer visitas inútiles usando diferentes computadoras.

Permítame agregar en este punto que mi sitio ha sido escaneado repetidamente en busca de malware o listas negras y nunca se ha encontrado ninguno. Los análisis de malware y listas negras se ejecutan a diario. En consecuencia, mi sitio web no tiene absolutamente nada que ver con lo que sea o con quien esté realizando estas extrañas visitas. Del mismo modo, mi PC está ejecutando Kaspersky, lo ha estado durante años y también se escanea a diario.

Y para agregar al misterio, recientemente hubo una serie de visitas en las que se registra poca información sobre el visitante. Mis estadísticas muestran un signo de interrogación para casi todos los campos, a excepción de la dirección IP y el lugar de origen. Todas estas visitas más recientes son de Houston, Texas, EE. UU. Y comienzan con 34. . . *, Pero los números subsiguientes son siempre diferentes. Aquí hay una lista de esos IP's: 

34.250.99.222
34.252.124.230
34.240.95.112
34.240.26.189
34.250.6.11
34.253.0.71

Ninguna de estas visitas de visitantes misteriosos es tan numerosa como para ser cualquier tipo de ataque de DOS, así que no puedo adivinar de qué se trata.

¿Alguien sabe qué sucede con estos dos fenómenos?

Gracias.

    
pregunta user6318597 12.09.2017 - 22:35
fuente

2 respuestas

6

Probablemente solo algunos rastreadores, bots, nada de qué preocuparse. Solo asegúrese de que su sitio web sea seguro y que no haya fugas de datos.

Por mi experiencia, observé que muchos propietarios de sitios web solo descuidan sus datos, por lo que es fácil encontrar datos confidenciales en su sitio web.

Observe especialmente si algunos de estos tipos de archivos están disponibles públicamente:

*.sql, *.log, *.bak, *.old etc.

Solo ejecuta: 

find . -type f -name "*.sql"

Que comprobar en Google: 

site:yourwebsite.com ext:sql

Utilice Alertas de Google , le avisará si alguno de sus datos confidenciales aparece en las búsquedas de Google.

    
respondido por el Mirsad 13.09.2017 - 07:32
fuente
0

Tomaría medidas para bloquearlos de forma dinámica mediante Fail2Ban ( enlace ).

Estos no solo son potencialmente maliciosos, también están absorbiendo su ancho de banda. El hecho de que no tengan referencia hará que sean fáciles de filtrar y bloquear.

Una estrategia de filtro decente sería verificar el remitente, el agente de usuario, el tipo de solicitud, la frecuencia de solicitud y la dirección IP. Combínelos para crear algo que bloqueará / eliminará temporalmente las solicitudes de las IP que bombardean su servidor.

    
respondido por el Trickycm 13.09.2017 - 11:19
fuente

Lea otras preguntas en las etiquetas

Acerca de la eliminación segura de SSD para cumplir con iso27001 ¿Iniciar sesión sin contraseña utilizando SSH, conociendo authorized_keys?