Подозрительный скан с подсети 95.163.118.0/24

12
saanvi
На сайте с 01.04.2015
Offline
108
967

Тема такая уже есть, что интересно, аж от 2018-го (тудой написать не даёт т.к. старая). Короче, сканят с 95.163.118.0/24, довольно дофига (небыстро, но постоянно). Все мои коммерческие сайты (высокопосещаемые, интернет-магазины и т.п.) под этим говноботом. Метрика его, похоже, учитывает. При скане идёт только открытие страниц, графический контент с сайта не грузится (видимо, для экономии трафика). Засчитывается это всё в отказы; целью, судя по всему, является ухудшение ПФ (на одном из сайтов такое и замечено, почему и начал ковыряться в логах). User-Agent постоянно разный (что ещё раз подтверждает возможные намерения). Удивительно, что за такой "тёмный" сервис, и до сих пор не выведен на чистую воду.

Здоровый пофигизм (http://saanvi.ru)
saanvi
На сайте с 01.04.2015
Offline
108
#1

Ответ техподдержки на абузу.

Просьба указать конкретные адреса, приложить дамп или логи, где будет видна проблема. Так же просьба изложить в чем именно претензия (просто сканирование как таковое, насколько мне известно, противозаконным не считается) я передам ее пользователю ip.

ООО "Диджитал Нетворк"

Мой ответ.

В приложении - лог с домена за сегодня. Первый адрес, который встречается - 95.163.118.108, есть и ещё куча. Сканирование противозаконным не считается, информация в основном для вашего сведения. На первый взгляд, с вашей подсетки орудуют люди, занимающиеся "опусканием" поведенческих факторов, т.к. эти "визиты" засчитываются той же метрикой, как отказы. Причём орудуют не первый месяц (в своей теме на сёрче я указываю другую тему ровно с той же
подсеткой, ситуация имела быть место полгода назад). Судя по тому, что скан идёт на мои коммерческие проекты (а не более "простые" сайты), это делается за деньги. Мне не составляет труда защититься от подобного, но я ратую за чистоту рунета.
Оптимизайка
На сайте с 11.03.2012
Offline
396
#2

saanvi, известный ip, botguard его много раз уже блокировал, палится по странному user agent типа "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0" и т.п.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
saanvi
На сайте с 01.04.2015
Offline
108
#3
Оптимизайка:
saanvi, известный ip, botguard его много раз уже блокировал, палится по странному user agent типа "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0" и т.п.

На самом деле, у него овердохрена узерагентов. :) Сегодня он представляется и Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0), и Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko (и вами указанными тоже.

Но чу! Вот и разгадка (мою абузу перенаправили клиентам провайдера, и вот пришёл ответ).

Добрый день, в логе который вы прислали наших запросов не так много, наша поисковая система сканирует открытые ресурсы и не выполняет никаких вредоносных действий, только индексирует контент. Как яндекс, но пока не такой большой. Мы не нарушаем никаких законов РФ. У нас две встроенные системы ограничений запросов к целевым сайтам, чтобы случайно не навредить, например через DOS. Так же мы не используем никаких тактик типа брутфорса и т.п. Если внимательно посмотреть на лог, вы увидите, что запросы с наших IP, в среднем идут с интервалом в несколько минут. Это крайне мало чтобы дать какую либо существенную нагрузку на сайт. Следовательно не видим никаких поводов для беспокойства.
В общем, всё норм, это Яндекс, просто небольшой. Представляется какой-то хренотенью, никак себя не идентифицируя. Расходимся! Только я его, конечно, в банлист-то добавил везде. :)
M2
На сайте с 11.01.2011
Offline
335
#4
saanvi:
Короче, сканят с 95.163.118.0/24

Это испанское подразделение Водафона. Вот пруф:


whois 95.63.118.0/24
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '95.63.106.0 - 95.63.158.255'

% Abuse contact for '95.63.106.0 - 95.63.158.255' is 'abuse@corp.vodafone.es'

inetnum: 95.63.106.0 - 95.63.158.255
netname: IPCOM-NET
descr: Infraestructura Red y Servicios IP
descr: VODAFONE ESPANA, S.A.U.
country: ES
admin-c: PRC8-RIPE
tech-c: PRC8-RIPE
status: ASSIGNED PA
mnt-by: COMUNITEL-MNT
created: 2018-11-12T17:08:55Z
last-modified: 2018-11-12T17:08:55Z
source: RIPE

role: Planificacion RMS Comunitel
address: Oficina Vodafone Bouzas I (oficina Comercial Vigo)
address: Consorcio. Zona Franca Bouzas.
address: 36208 Vigo Espanha
remarks: Grupo de Planificacion Broadband
abuse-mailbox: abuse@corp.vodafone.es

С чего вы взяли, что сетка именно 95.163.118.0/24 - вообще непонятно. В том же whois диапазон IP-адресов, в который входит указанный адрес, звучит как 95.63.106.0 - 95.63.158.255, что в итоге дает следующие подсети:


95.63.106.0/23
95.63.108.0/22
95.63.112.0/20
95.63.128.0/20
95.63.144.0/21
95.63.152.0/22
95.63.156.0/23
95.63.158.0/24

А вообще у испанского подразделения Vodafone тихий ужас сколько адресов - всех их можно посмотреть по ссылке. Вот ещё их AS.

Не сам Водафон, конечно, сканит - скорее всего, их клиенты...

------------------- Крутые VPS и дедики. Качество по разумной цене ( http://cp.inferno.name/view.php?product=1212&gid=1 ) VPS25OFF - скидка 25% на первый платеж по ссылке выше
Оптимизайка
На сайте с 11.03.2012
Offline
396
#5
mark2011:
Это испанское подразделение Водафона

95.163.118.0/24

M2
На сайте с 11.01.2011
Offline
335
#6

Оптимизайка,

упс, переработал..... тысяча извинений.....

kxk
На сайте с 30.01.2005
Offline
995
kxk
#7

saanvi, Спасибки, забанил подсеть, поисковая система понимаешь у них, а я нехочу чтоб мой сайт индексировал кто-либо кроме яндекса и гугла:)

Ваш DEVOPS
HM
На сайте с 14.01.2012
Offline
218
#8

Можно еще сетевой шнур вытащить, чтобы наверняка.

saanvi
На сайте с 01.04.2015
Offline
108
#9
kxk:
saanvi, Спасибки, забанил подсеть, поисковая система понимаешь у них, а я нехочу чтоб мой сайт индексировал кто-либо кроме яндекса и гугла:)

Меня всё же не покидают смутные сомнения по поводу "маленького Яндекса". Что мешало нормально представляться? SmallYandex 0.100500beta - и нет проблем. Я бы, конечно, и так забанил. Но хоть без вот этих телодвижений. А так смотрится как вредительский скан. Как ни крути.

Glueon
На сайте с 26.07.2013
Offline
172
#10

saanvi, в Рунете на самом деле тишь и гладь. Если потом попробуете работать в буржунете, удивитесь количеству ботов и сколько они жрут трафика.

Вредительским имхо можно назвать только скан уязвимостей, сколько те же вордпрессы постоянно долбят. Если кто-то просто собирает свой индекс и не наглеет по трафику, почему нет.

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий