Jeden morgen um 7: Spambesucher - Shop gehackt? Sicherheitsloch?

Hallo Gemeinde,

seit über 1,5 Monaten geht in einem Kundenshop ein absolutes Mysterium vor sich - ich nehme vorweg: Ich bin mit meinem Latein am Ende.

Folgendes Szenario welches ich an einem Morgen mal protokolliert habe:

Bis 7:00 Uhr ist alles normal ca 16 Besucher zählt die Statistik über die Nacht hinweg - dann steigen von jetzt auf gleich die Besucher im Shop online auf 15 und die Besucher nehmen rasant zu

 

7:26 Uhr - Die Besucher steigen weiter - die Besucher online auch

7:35 Uhr: Die Besucher steigen weiter, die Besucher online nehmen langsam ab.

7:39 Uhr - Die Besucher online schnellen nochmal richtig in die Höhe mit über 22 - die Besucherzahlen sind mitlerweile von 17 auf 196 gestiegen.

 

Nach gut 45 Minuten ist der Spuk dann vorbei - die Besucher online gehen wieder auf 0 zurück und hinterlassen werden 250 Besucher die gar nicht wirklich da waren. Folgen: Komplette Statistik verfälscht. Auch die Funktion des Shops selbst hat es keinen Einfluss.

Ich habe schon alles ausprobiert - Plugins deaktiviert usw usw.

Ich kann nichts ungewöhnliches ausmachen. Es wäre schön wenn hier jemand irgendeinen Anhaltspunkt mir geben würde. Alternativ auch jemanden empfehlen der auf so etwas spezialisiert ist und helfen kann.

Beste Grüße,

kweb

Wie korrelieren denn die Daten von Shopware mit dem Access-Log des Webservers und evtl. GoogleAnalytics? 

@hth schrieb:

Wie korrelieren denn die Daten von Shopware mit dem Access-Log des Webservers und evtl. GoogleAnalytics? 

Google Analytics scheint diese Besucher nicht zu zählen. Die Logs sagen um 7:00 Uhr herum folgendes:

Ich kann da keine Ungereimtheiten feststellen. Jemand anderes vielleicht?

Gruß

kweb

@kweb‍,

hast du Änderngen an der Bod-Liste unter Einstellungen  > Grundeinstellungen > System > Statistiken vorgenommen?
oder du hast einen Crawler der da noch nicht eingetragen ist und darum die Zugriffe sprunghaft ansteigen.

Müsstest du doch eigentlich in der Logs von Server sehen.

Uwe

Man sieht ja zumindest schonmal Bingbot, Ahrefsbot und Googlebot, der Rest ist abgeschnitten (steht weiter rechts im Log)

Also ihr meint die Crawler könnten daran Schuld sein? Zumindest müsste es etwas automatisiertes sein, denn man kann jeden Morgen die Uhr nach stellen. An der Botliste habe ich nichts geändert, die sieht so aus:

 

antibot;appie;architext;bjaaland;digout4u;echo;fast-webcrawler;ferret;googlebot;gulliver;harvest;htdig;ia_archiver;jeeves;jennybot;linkwalker;lycos;mercator;moget;muscatferret;myweb;netcraft;nomad;petersnews;scooter;slurp;unlost_web_crawler;voila;voyager;webbase;weblayers;wget;wisenutbot;acme.spider;ahoythehomepagefinder;alkaline;arachnophilia;aretha;ariadne;arks;aspider;atn.txt;atomz;auresys;backrub;bigbrother;blackwidow;blindekuh;bloodhound;brightnet;bspider;cactvschemistryspider;cassandra;cgireader;checkbot;churl;cmc;collective;combine;conceptbot;coolbot;core;cosmos;cruiser;cusco;cyberspyder;deweb;dienstspider;digger;diibot;directhit;dnabot;download_express;dragonbot;dwcp;e-collector;ebiness;eit;elfinbot;emacs;emcspider;esther;evliyacelebi;nzexplorer;fdse;felix;fetchrover;fido;finnish;fireball;fouineur;francoroute;freecrawl;funnelweb;gama;gazz;gcreep;getbot;geturl;golem;grapnel;griffon;gromit;hambot;havindex;hometown;htmlgobble;hyperdecontextualizer;iajabot;ibm;iconoclast;ilse;imagelock;incywincy;informant;infoseek;infoseeksidewinder;infospider;inspectorwww;intelliagent;irobot;israelisearch;javabee;jbot;jcrawler;jobo;jobot;joebot;jubii;jumpstation;katipo;kdd;kilroy;ko_yappo_robot;labelgrabber.txt;larbin;legs;linkidator;linkscan;lockon;logo_gif;macworm;magpie;marvin;mattie;mediafox;merzscope;meshexplorer;mindcrawler;momspider;monster;motor;mwdsearch;netcarta;netmechanic;netscoop;newscan-online;nhse;northstar;occam;octopus;openfind;orb_search;packrat;pageboy;parasite;patric;pegasus;perignator;perlcrawler;phantom;piltdownman;pimptrain;pioneer;pitkow;pjspider;pka;plumtreewebaccessor;poppi;portalb;puu;python;raven;rbse;resumerobot;rhcs;roadrunner;robbie;robi;robofox;robozilla;roverbot;rules;safetynetrobot;search_au;searchprocess;senrigan;sgscout;shaggy;shaihulud;sift;simbot;site-valet;sitegrabber;sitetech;slcrawler;smartspider;snooper;solbot;spanner;speedy;spider_monkey;spiderbot;spiderline;spiderman;spiderview;spry;ssearcher;suke;suntek;sven;tach_bw;tarantula;tarspider;techbot;templeton;teoma_agent1;titin;titan;tkwww;tlspider;ucsd;udmsearch;urlck;valkyrie;victoria;visionsearch;vwbot;w3index;w3m2;wallpaper;wanderer;wapspider;webbandit;webcatcher;webcopy;webfetcher;webfoot;weblinker;webmirror;webmoose;webquest;webreader;webreaper;websnarf;webspider;webvac;webwalk;webwalker;webwatch;whatuseek;whowhere;wired-digital;wmir;wolp;wombat;worm;wwwc;wz101;xget;awbot;bobby;boris;bumblebee;cscrawler;daviesbot;ezresult;gigabot;gnodspider;internetseer;justview;linkbot;linkchecker;nederland.zoek;perman;pompos;pooodle;redalert;shoutcast;slysearch;ultraseek;webcompass;yandex;robot;yahoo;bot;psbot;crawl;RSS;larbin;ichiro;Slurp;msnbot;bot;Googlebot;ShopWiki;Bot;WebAlta;;abachobot;architext;ask jeeves;frooglebot;googlebot;lycos;spider;HTTPClient

Ahrefsbot sehe ich dort nicht - meint ihr ich sollte den da hinzufügen?

Und in den Logs vom Server siehst du nicht wer um die Zeit sein „Unwesen“ treibst und gegebenfalls, wenn er nicht relevant ist, über die htaccess sperren.

Moment useg, den Satz bitte nochmal - habe ich nicht verstanden. Also über die Logs sehe ich es nicht?

Die

 37.24.73.xx 47.71.31.xx

IPs hatte ich mal sperren lassen - das waren dann aber 2 User die zu dieser Zeit im Backend waren. Ist es nicht auffällig, dass so viele URLs das SWAG Bonus System aufrufen? Hier hatte ich mal das Plugin für einen Tag deaktiviert - daran lag es wohl auch nicht. Woher weiss ich denn welchen Namen der Ahrefsbot hat, bzw was ich da in die Liste eintragen muss?

Könnte es ggf. ein Cron sein, der um 7 startet und via localhost oder 127.0.0.x rein kommt und vom Server nicht geloggt wird?

[Cache WarmUp evtl.]

Daran hatte ich auch schon gedacht. Der Cronjob startet allerdings bei uns um 7:30 Uhr. Ca. ab dieser Zeit “beruhigt” sich die Angelegenheit so langsam.

So, hatten den ahrefs Bot auch versucht auszuschließen - alles ohne Erfolg. Wenn jemand eine Empfehlung hat wer mir hier weiterhelfen kann kann mich gerne bei PM kontaktieren. Ich selbst habe fertig - kein Plan mehr.

Mal ne Neuigkeit:

Die letzten 2 Tage war das Problem plötzlich vom Erdboden verschwunden. Keine Fakeuser mehr - bis es eben heute morgen wieder erneut losging.

In einem Anderen Beitrag hatte jemanden das Mittwald Security tool geholfen.

Das findest du hier: http://store.shopware.com/mittw23595958593/mittwald-security-tools.html

Soweit ich weiß ist es kostenlos.

Danke für den Tipp - werde ich mal ausprobieren.

Das Plugin von Mittwald ist eher für Anmeldungen im Shop gedacht nicht die Allgemeinen Zugriffe,

Ich hatte es schon eine lange Zeit so gemacht über einen Beitrag den ich gelesen hatte, so ähnlich wie dieser hier und habe ruhe.> Referrer-Spam in Analytics filtern + blockieren ▷

Findest eigentlich viele Hinweise un anleitungen über > Google

Uwe

Ich greife diese Thematik noch einmal auf. Die Problematik besteht nun schon seit über 9 Monaten. Manchmal ist sogar für 2-3 Tage Pause mit Spambesuchern. Danach geht es wieder los. Es beeinträchtigt das Shopgeschehen von außen nicht - es ist aber wirklich blöd, dass sämtliche Statistiken innerhalb von Shopware verfälscht sind. Die oben genannten Ratschläge haben alle nichts geholfen - wenn wem noch was einfällt: Ich habe für alles ein Ohr =) Komisch, dass sonst wohl keiner dieser Probleme hat…

Du kannst deine IP hinter einem CDN verstecken und das CDN z.B: Länder und Bots blockieren lassen.

Wieso sollte ein Besucher aus Indien, Pakistan oder Thailand Umsatz in denen Shop bringen (ausnahme du lieferst in die Länder).

Geeignet wäre Cloudflare und Incapsula für das blockieren von Ländern und Bots. Wobei bei Incapsula bei der kostenlosen Varriante kein SSL  unterstützt wird.

 

1 „Gefällt mir“

@Pua7‍ : 2 Tage jetzt Cloudflare in der Gratisversion im Einsatz und KEINE Probleme mehr. SUPER SUPER SUPER!!! Besten Dank!

Sieht für mich nach Bot-Netzen aus, die Deinen Shop besuchen und nach Sicherheitslücken abklopfen. Hatte dazu gerade eine lange Diskussion, kann sie aber nicht mehr finden :slight_smile:

Jedenfalls werden etliche Botnetze über die Blacklist von Cloudflare geblockt, damit solltest Du jetzt ja Ruhe haben…

Tja, so kanns gehen. Haben Cloudflare wieder deaktivieren müssen. Ein paar Tage ging alles gut, Cloudflare hat auch erfolgreich die Ghostuser blocken können - zumindest einen großen Teil. Dann aber ist regelmäßig unser der Server in die Knie gegangen, was irgendwie mit Cloudflare zu tun haben musste. Seitdem wir CF wieder deaktiviert haben läuft wieder alles unter normaler Last - allerdings weiterhin jetzt mit verfälschter Statistik :confused: