¿Son estos HTTP_REFERER de una red bot? ¿Son perjudiciales? ¿Cómo debo manejarlos?

Question

¿Son estos HTTP_REFERER de una red bot? ¿Son perjudiciales? ¿Cómo debo manejarlos?

0

Estamos recibiendo una gran cantidad de solicitudes que no puedo explicar. Todas estas solicitudes van a admin.OURWEBSITE.com/api/analyze/ , pero no tenemos un subdominio admin y no tenemos una ruta api/analyze . Nuestro servidor luego devuelve una vista "Este subdominio no existe". Es muy poco realista que todos estos referentes HTTP se refieran a nuestro sitio.

Ofrecemos un SaaS y nuestra configuración en DSN-Provider es:

https://OURWEBSITE.com y https://www.OURWEBSITE.com → Servidor # 1 con Wordpress (Portal / sitio de promoción, Pricplan, etc.)
https://info.OURWEBSITE.com → Server # 1 Wordpress (sitio de preguntas frecuentes)
todos los demás subdominios ( https://whatever.OURWEBSITE.com ) → SaaS del servidor # 2 (AWS) con un subdominio para cada cliente.

Detalles de solicitud de ejemplo:

 'REDIRECT_STATUS' => '200',
  'HTTP_HOST' => 'admin.OURWEBSITE.com',
  'HTTP_ACCEPT' => '*/*',
  'HTTP_ACCEPT_ENCODING' => 'gzip, deflate, br',
  'HTTP_ACCEPT_LANGUAGE' => 'tr-TR,tr;q=0.9,en-US;q=0.8,en;q=0.7',
  'HTTP_CLOUDFRONT_FORWARDED_PROTO' => 'https',
  'HTTP_CLOUDFRONT_IS_DESKTOP_VIEWER' => 'true',
  'HTTP_CLOUDFRONT_IS_MOBILE_VIEWER' => 'false',
  'HTTP_CLOUDFRONT_IS_SMARTTV_VIEWER' => 'false',
  'HTTP_CLOUDFRONT_IS_TABLET_VIEWER' => 'false',
  'HTTP_CLOUDFRONT_VIEWER_COUNTRY' => 'TR',
  'HTTP_REFERER' => 'https://www.sahibinden.com/ilan/vasita-otomobil-peugeot-bakmadan-gecme-550746614/detay',
  'HTTP_USER_AGENT' => 'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36',
  'HTTP_VIA' => '1.1 I-THINK-OUR-SEVER.cloudfront.net (CloudFront)',
  'HTTP_X_AMZ_CF_ID' => 'LONG-ID-I-THINK-OUR-SEVER',
  'HTTP_X_FORWARDED_FOR' => '88.230.105.204, PROXY-IP',
  'HTTP_X_FORWARDED_PORT' => '80',
  'HTTP_X_FORWARDED_PROTO' => 'http',
  'HTTP_CONNECTION' => 'keep-alive',
  'PATH' => '/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin',
  'SERVER_SOFTWARE' => 'Apache',
  'SERVER_NAME' => 'OURWEBSITE.com',
  'SERVER_ADDR' => 'INTERNAL-IP',
  'SERVER_PORT' => '80',
  'REMOTE_ADDR' => 'INTERNAL-IP',
  'DOCUMENT_ROOT' => 'ROUTE-TO/public',
  'REQUEST_SCHEME' => 'http',
  'CONTEXT_PREFIX' => '',
  'CONTEXT_DOCUMENT_ROOT' => 'ROUTE-TO/public',
  'SERVER_ADMIN' => '[no address given]',
  'SCRIPT_FILENAME' => 'ROUTE-TO/public/index.php',
  'REMOTE_PORT' => 'SOME-PORT',
  'REDIRECT_URL' => '/api/analyze',
  'REDIRECT_QUERY_STRING' => 'url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=0c525ecf-bb39-8f4e-841f-ab85fd52eb1c',
  'GATEWAY_INTERFACE' => 'CGI/1.1',
  'SERVER_PROTOCOL' => 'HTTP/1.1',
  'REQUEST_METHOD' => 'GET',
  'QUERY_STRING' => 'url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=0c525ecf-bb39-8f4e-841f-ab85fd52eb1c',
  'REQUEST_URI' => '/api/analyze?url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=0c525ecf-bb39-8f4e-841f-ab85fd52eb1c',
  'SCRIPT_NAME' => '/index.php',

Estas son algunas de las solicitudes GET (de nuevo, no tenemos una ruta /api/analyze ). El sitio en el parámetro de URL también es el HTTP_REFERER en cada caso.

/api/analyze?url=https%3A%2F%2Fwww.nesine.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=e61d24a4-75cc-a324-b2de-a35a04d5e361
/api/analyze?url=https%3A%2F%2Fbo.nesine.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=e61d24a4-75cc-a324-b2de-a35a04d5e361
/api/analyze?url=https%3A%2F%2Foffer.alibaba.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=5b11168a-407c-ee96-9603-587019762bd5
/api/analyze?url=https%3A%2F%2Ftr.gearbest.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=59782ab6-1c5e-14cf-4a0f-d291b8348dac
/api/analyze?url=https%3A%2F%2Fwww.amazon.de%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=766d04c9-4d4b-8c10-5757-9bebaac15249
/api/analyze?url=https%3A%2F%2Fwww.dsmart.com.tr%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=b3cbd8d5-b645-2117-90c3-e6e4c59f5f6d
/api/analyze?url=https%3A%2F%2Fwww.sahibinden.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=5372fa14-6eea-00aa-6404-38643c5ea7d3
/api/analyze?url=https%3A%2F%2Fmsdn.microsoft.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=3f1daef0-2f71-8c19-500c-b4d46a765fdc
/api/analyze?url=https%3A%2F%2Foutlook.office.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=1eece604-f639-a1c5-a463-e10be1f3c653
/api/analyze?url=https%3A%2F%2Fwww.easports.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=60f5dc89-538a-ddf8-478b-fccb34e8713c
/api/analyze?url=https%3A%2F%2Fdeveloper.mozilla.org%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=3f1daef0-2f71-8c19-500c-b4d46a765fdc
/api/analyze?url=https%3A%2F%2Fwww.boyner.com.tr%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=7d0bca7c-363f-03e3-e269-22711fd330fc
/api/analyze?url=http%3A%2F%2Fseen-on-screen.thewhizmarketing.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=b4baf300-e9ae-e111-0a10-5074bea1f9e4
/api/analyze?url=http%3A%2F%2Fistatistik.nesine.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=4de1302d-0f9e-2353-b4e2-1fc633738299
/api/analyze?url=https%3A%2F%2Fwww.penti.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=9983a0ec-af1d-470c-6aa8-8518b2f7f474
/api/analyze?url=https%3A%2F%2Fshareae.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=00f6e6f4-faf6-454f-751a-d61d64046463
/api/analyze?url=https%3A%2F%2Fdeloton.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=b01c16f8-e8eb-0592-48c8-2d997fc920e7
/api/analyze?url=https%3A%2F%2Fwww.hepsiburada.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=241521dc-86cc-a455-82a7-9a6dfee4fd5d
/api/analyze?url=https%3A%2F%2Ftr.aliexpress.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=4de1302d-0f9e-2353-b4e2-1fc633738299
/api/analyze?url=https%3A%2F%2Fwww.n11.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=aeebefff-8682-3d33-cc6c-786aa4af44a8
/api/analyze?url=http%3A%2F%2Fwww.informit.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=3f1daef0-2f71-8c19-500c-b4d46a765fdc
/api/analyze?url=http%3A%2F%2Fusingchoice.com%2F&version=2.0.9&tag=z3Nnno43&campaign=chrome&uuid=4de1302d-0f9e-2353-b4e2-1fc633738299

El UUID es, supongo, algún ID de usuario de Google Analytics? Tenga en cuenta que el parámetro de etiqueta es siempre el mismo, z3nno43.

Estas solicitudes representan el 80% de todas las solicitudes, mientras que solo el 20% son usuarios legítimos de subdominios legítimos de nuestro SaaS. ¿Esto me hace pensar en (suposición sin fundamento) algún tipo de bot-net o algo así? Teniendo en cuenta que un paramerter, tag, es siempre el mismo valor.

¿Qué es? ¿Cómo lidiar con estas peticiones? ¿Solo ignoralo? ¿Filtrar y devolver 404?

http spam log-analysis referer

pregunta MPS 16.04.2018 - 10:52

fuente

0 respuestas

Lea otras preguntas en las etiquetas http spam log-analysis referer

¿Es SOCKS seguro? PtH y Hashcat descifrando las credenciales de LSA volcadas