web-dev-qa-db-fra.com

Suis-je piraté ou récolté?

Je viens de faire une analyse du journal Q1 pour l'un des sites de mes clients.

Environ 30 000 sessions ont été créées pour ce site pour chacune des cinq adresses IP distinctes commençant par 79.171.81.xxx. 150 000 sessions en trois mois sur ce site représentent environ 30% du trafic total.

Les visites se représentent elles-mêmes avec une chaîne cohérente User-Agent de Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Cette plage d'adresses IP appartient-elle à une araignée connue (bénéfique)? Ou est-ce plus susceptible d'être malveillant? Je pourrais prendre plusieurs mesures, notamment:

  • ignorer le volume et le laisser accéder au site autant qu'il le souhaite
  • désactiver la journalisation pour cette plage IP
  • bloquer complètement l'accès au site
  • rien d'autre!
  • envoyez par courrier électronique l'adresse d'abus @ indiquée pour l'adresse IP et demandez des éclaircissements (ou s'agit-il simplement d'un problème?)

Googler pour les adresses IP me donne juste beaucoup de résultats de recherche IP.

Je me soumets donc à la connaissance et à la sagesse de la foule: que se passe-t-il ici et que dois-je faire à ce sujet (le cas échéant)?

webserverhackingweb-crawlersadministration
3
caponica

Commencez par informer votre client et demandez ce que ils aimeraient faire - il reste leur site - et il pourrait s'agir du trafic d'un client important ou d'une autre source que vous ne connaissez pas.

Si le client ne sait rien de la source du trafic, suggérez de bloquer la plage IP et surveillez la charge. Avertissez le client dès que le blocage a été implémenté.

  • Si le trafic passe à une autre adresse IP, vous savez qu'il se passe quelque chose.
  • Si l'équipe de vente de votre client reçoit un appel téléphonique d'un ou de plusieurs clients en colère, vous connaissez également la source et vous pouvez désormais hiérarchiser ce trafic.
1
utt73

Tout robot correctement exécuté aurait des informations dans l'agent utilisateur qui identifie son exécution.

Cela ne veut pas dire que cela est nécessairement exécuté pour des raisons moins que légitimes, mais l'absence d'informations d'identification dans la chaîne User-Agent ne parle certainement pas bien pour leur Etiquette. Je les bloquerais pour ça tout seul.

0
Kris