Bin mir unsicher was da in meinen Logs vorgeht, vielleicht hat jemand eine Idee.
Also meine Seite hatte konstant 200-260 unique Visits am Tag, das war jetzt seid über einem Jahr so. Die Zugriffe waren zu 95% aus Deutschland, da es eine rein deutschsprachige Seite ist. Seid rund 2 Wochen sind die Besucherzahlen auf über 800 am Tag gestiegen aber NUR aus dem Ausland, und es werden immer mehr. Jedoch ist auf der Seite nicht ein spanisches oder französiches Wort zu finden. Chinesisch schon gleich gar nicht und die Zugriffe sind immer ohne Referer.
Ich hänge mal einen Ausschnitt aus den Logs (bbclone) an vielleicht hat jemand ne Idee. Ziel der Klicks sind immer unterschiedliche Unterseiten weswegen ich einen "Angriff" bis jetzt ausgeschlossen habe.... oder liege ich da falsch?
Gruß
tim
(logs sind teilweise ausgegraut weil ich nicht weiss, ob man so was datenschutztechnisch veröffentlichen darf...)
So aus dem Bauch und ohne genaue Infos kann man überhaupt nix sagen. Auch die angehängte Grafik sagt nix weiter aus, als daß da tatsächlich viele Zugriffe über fremde IPs reinkommen. Die Ursache kann man jedoch nicht erkennen.
Günstig wäre es, wenn Du mal ein paar Infos bzgl. verwendeter Joomlaversion und installierter Komponenten zzgl. Versionsnummer bekannt gibts.
Allgemein würde ich erstmal vom Wurstkäse ausgehen und behaupten, die hat jemand ein dickes Ei ins Nest gelegt.
Gruß keraM
Joomla-FAQ: --> Klick! Support per PN: --> Klick!
Also Joomla 1.0.15 läuft. Ich behaupte jetzt einfach mal das es nicht eine spezielle Komponente ist, die attackiert wird.
Die Zugriffe sind ab Mitte September langsam angestiegen. Deine Vermutung hat mich jetzt mal aufgeschreckt und ich hab schnell mal den WEbalizer aufmerksam studiert und da ist eindeutig zu sehen, dass jeder Besucher eine andere Unterseite meiner Seite ansurft. Also vollkommen unterschiedliche "Einstiegspunkte" die auch nicht geändert wurden.
Aber es kommt mir alles spanisch vor, die unterschiedlichsten Browser (PSP, IE 1.5, MSN explorer, miniopera...) und das von überall aus der Welt (Oman, China, Swaziland). Es würde mir ja schmeicheln, dass meine Seite auf einmal berühmt geworden ist, aber ohne Referer klingt das doch alles sehr "künstlich". Aber wie schon gesagt wird immer eine andere Seite angesurft, keine spezifische Datei oder von mir nicht selbst erstelle Unterseite/Verzeichnis.
Ich bin ratlos, gibt es eine große Suchmaschine die keinen Referer anzeigt? Also das ich da im Index gelandet bin und deswegen mehr Leute kommen?
Also ich würde mir statt dem Webalizer die Logdatei ansehen. Dort steht genau drin, wer wann worauf zugegriffen hat. Wenn Du keine Logdatei hast, dann frag Deinen Hoster danach.
Außerdem würde ich (wenn ich mir nicht 100% sicher bin) alle Erweiterungen auf Aktualität prüfen.
Gruß keraM
Joomla-FAQ: --> Klick! Support per PN: --> Klick!
Zunächst einmal sollte Deine Statistikauswertung die Bots erkennen und ausfiltern bzw. getrennt anzeigen. Tut sie das nicht, vergiss die Statistik.
Mit der obigen Übersicht alleine läßt sich quasi nicht viel anfangen. Du musst schon erkennen, wer auf welche Seite zugreift. Ebentuell sind auch sogenannte Besucherdienste aktiv? (eBesucher und so'n Schrott etc.pp.)
Wie man weiter untersuchen kann hängt davon ab, was Du alles für Informationen zur Verfügung hast. Natürlich ist es denkbar, das irgendwo eine Lücke ist, die ausgenutzt wird, z.B. das Spams versendet werden, Downloads stattfinden etc. In guten Statistiken kann man das i.d.R. herauslesen.
Also danke erstmal für eure Tipps. Bin gerade dabei alle Komponenten upzudaten und habe mir auf euer Anraten das ApacheLog besorgt.
Darin sind mir mehrere Sachen aufgefallen. Erstmal immer wieder der Zugriff von besagten ausländischen IPs auf folgende Seite:
GET /registkey.cgi?.php?bgc=FFCC00&fc=FF3300&lc=FF3300& bc=FF8000
Diese Anfrage läuft aber ins Leere, da es die Datei nicht auf dem Webserver gibt.
Zudem steigen die Zugriffe auch oft mit so einem Link ein:
GET /index.php?option=com_content&task=view&id=46&Itemi d=1 HTTP/1.1
Seid gut einem Jahr jedoch habe ich SEF auf ON und die Links sehen dann ja anders aus.
Auffällig ist, dass die Besucher immer an den 5 selben Contentids einsteigen.
Möglicherweise bin ich auf irgendeinem Index gelandet der mich vor über einem Jahr gescannt hat, aber wieso gibts dann keine Referer und was ist dieses registkey.cgi.
Auch sehe ich im ApacheLog, das eine IP immer wieder kommt mit zig verschiedenen clients, sieht mir aber nicht nach SuchmaschinenBOT aus, da die namen zu den IP Adressen immer verschieden sind, auch mal große Firmen. (Lexus in China unterhält ja keinen Suchmaschinen Bot)
Für weitere Ratschläge wäre ich sehr dankbar, da ich der Sache gerne auf die Spur kommen würde...
Typische Versuche reinzukommen. Wenn das ins Leere läuft, dann ignorieren.
Wenn eine IP auffällig häufig kommt, dann sperr Sie doch einfach aus (z.B. über .htaccess). Möglicherweise führt das dazu, das derjenige es aufgibt... mach Dir aber nicht zu viele Hoffnung.
Hm "typische Versuche", dann geh ich mal davon aus, dass nichts weiter passiert und behalte die Logs im Auge. Unverständlich ist mir nur, wieso es auf einmal begonnen hat. Das ganze Jahr wurde ich nicht "heimgesucht"...
Aber Danke noch mal für die Hilfe und die Tipps! Ich werde gleich mal die ganzen IPs in der htaccess denyen, vielleicht nimmt der Ansturm dann ab.
LinkBack URL
About LinkBacks
sich häufende "rätselhafte" Zugriffe
Zitieren
Lesezeichen