Atac ciudat, probabil retea botnet

Se întâmplă un fenomen foarte ciudat încă din Octombrie anul trecut și bănuiesc că este vorba despre un atac cu o rețea botnet, sau altă scamatorie despre care eu nu-mi dau seama.

Ideea e că iau în medie între 3k și 4k de vizite fake pe zi, asta după ce am filtrat China, Corea și alte țări din Asia(pentru că de acolo veneau cele mai multe vizite). Prin decembrie și ianuarie înainte să pun filtrele, aveam peste 10k pe zi. Și e ciudat, că nu e ddos. N-ai cum să fii atât de prost încât să crezi că vei da jos un site cu 10k de vizite într-o zi.

Cel mai nasol e că nu prea ai cum să filtrezi 100%  fără să afectezi si vizitatori reali, sau cel puțin nu mă duce pe mine capul atât de departe. Astăzi mi s-a pus pata și m-am apucat să caut informații despre. Și da, se întâmplă și pe la alte case, chiar din luna Mai a lui 2012. Am adunat o serie de informații din analytics și jetpack:

  • După ce am filtrat câteva țări din Asia a scăzut traficul de la 10k la 3-4k pe zi. Cele mai multe vizite vin acum din America latină.
  • Sistemul de operare este windows XP cu internet explorer între 5 și 9
  • Execută javascript
  • Intră pe prima pagină și pe articolele din prima pagină într-o ordine aleatorie. Nu se comportă ca un spider și accesează nimic din sidebar și nici link-urile din articole.
  • Traficul vine de pe ip-uri din toată lumea, ceea ce îl face imposibil de filtrat.
  • Durata medie a unei vizite de la un astfel de botnet este de 28 de secunde.

botnet

 

Nu cred că are scopul de a supraîncărca serverul, ci mai degrabă altceva, însă nu-mi dau seama ce ar putea fi. N-am încercat să pun adsense sau ceva să văd ce se întâmplă, poate mă îmbogățesc.

Am citit o chestie foarte interesantă despre Chameleon Botnet. O rețea botnet făcută să înregistreze click pe ad-uri. Coincidență sau nu, acești boti folosesc fix internet explorer. Se presupune că ar exista peste 120k de drone infectate. Dar parcă nu, nu se pupă poveștile în totalitate.

Ideea e că pare a fi o situație destul de întâlnită de mulți bloggeri/owneri de site-uri din străinătățuri, nu știu însă la noi cum stă treaba, oare sunt singurul în situația asta? Nu-mi dau seama dacă sunt cumva targetat de mizeria asta sau e random, nu știu nici dacă e vreun exploit pentru wordpress. Monitorizez totuși fail-urile pe login dar n-am găsit nimic dubios până acum.

Nu știu ce scop au, totul pare a fi perfect random. Mi-a crescut bounce rate-ul și nu mai știu cu exactitate care sunt vizitatorii reali. Îmi pot face o ideie bazându-mă pe ip-uri, browser și rata de respingere, dar cu toate astea mi-au cam dat statisticile peste cap. Am făcut totuși un trick pentru analytics ca să-mi dau seama ce vizite sunt pe bune.

Am pus o întrebare celor de la host și mi-au spus că traficul pare a fi natural, cu excepția locațiilor. Norocul meu e că blogul este în  limba română și îmi permit să blochez diverse țări. Singura soluție la care mă gândesc e să filtrez internet explorer, că oricum nu-l mai folosește nimeni. 😀

Se pare că această rețea botnet ar exista din Mai 2012 și cică Google ar investiga treaba, dar până acum nu a găsit nimeni nicio soluție. Dacă mai întâmpină cineva problema asta, daca aveți vreo sugestie, idee, orice; dau bere! Lăsați un comment.

Revin cu update-uri când sunt.

You might also like

Comments (8)

  • daniel 3 years ago Reply

    Stii ce am facut acum? Am pus site-ul in mantenanta deci l-am inchis pentru vizitatori.Astept sa vad cum se comporta miine cu vizitele.Binenteles am sa si caut daca exista ceva suspect pe site.Multumesc!

  • daniel 3 years ago Reply

    De citeva zile si mie m-i se intimpla aceeasi chestie. O explozie de vizite dint toata lumea Israel,Pakistan si alte tari care in opinia mea nu au nimic in comun cu site-ul meu.150 de vizite provin din cautare google(organice)Site-ul meu avea 400 de vizite zilnice pina sa se intimple aceasta explozie cu trei zile in urma.Am crezut ca este vina plugin-ului pe care il am pentru contorizarea vizitelor dar acest plug-in este instalat pe inca 2 site-uri si nu prezinta nici o problema.Sunt vizite false asta e clar. Eu am si Adsense pe site dar nimeni nu atinge reclamele(ma refer la vizitele false).

    Teodor Marin 3 years ago Reply

    Am scăpat, e de la un plugin. Am uitat cum se numește. Adu-ți aminte ce ai instalat în ultimele zile.

    daniel 3 years ago

    Nu am instalat nimic in ultimele zile,ma refer la plugin-uri.Pentru vizite am doar WPstatistics si in rest am doar citeva plugin-uri esentiale 5 la numar.Sper sa gasesc o rezolvare cit de curind. De filtrat nu am ce sa filtrez deoarece pe harta plugin-ului care imi numara vizitele se vad vizite de pe toate continentele.E un haos total.

    Teodor Marin 3 years ago

    Iți spun sigur că e un plugin. WP super cache dacă nu mă înșel. A fost compromis.

  • Yamasha 5 years ago Reply

    n-am auzit de asa ceva, eu n-am probleme 😀

  • alex 5 years ago Reply

    da dute domnule si alte blog’uri …numai aici numai aici ce inseamna asta …..10k de chinezi ma termina domnule la mine in asociatie….dar lasa0ma domnule marin ca nu mai pot nici eu …toata ziua vizite vizite=))))))

    Teodor Marin 5 years ago Reply

    nu comentez

Leave a Reply