我网站的奇怪访问者

信息安全 恶意软件 http iis
2021-08-20 22:27:02

在过去的三个月里,我网站上的一个页面有成千上万的真实访问者。这些访问记录在 Google Analytics 中,并计为 AdSense 报告中的页面浏览量,但它们是假的:

  • 它们不是由垃圾邮件软件 / prox5yy 或 BOT 生成的。
  • 都是来自美国、加拿大、欧洲的真实 IP(没有垃圾 IP,我查过了)。我所有来自非洲/亚洲的常客。
  • 在 Google Analytics 中,访问记录为直接访问。页面停留时间:00:00:10 秒。
  • 在 Adsense 中,成千上万的页面展示,但没有单击。
  • 我从来没有为我的网站做广告。
  • 所有请求方法都是 GET。

我不明白发生了什么事。在我删除它之前,我尝试了我的页面的所有内容。使用 Javascript 我检查了:

  • 我的页面不包含在框架或 iframe 中。
  • 我的页面没有作为弹出窗口打开。
  • 根本没有页面推荐。我检查了 IIS 日志并以编程方式进行了检查。

所有访客都只使用 MIE , 6, 7, 8, 9。没有 Firefox、Safari、Chrome 等。我最好的猜测是有人将我的页面嵌入到软件(浏览器对象/activex)中。

删除页面并忘记它很容易,但现在最大的问题是,这样做的人已经用我的默认网站 URL 替换了那个被遗忘的页面。随着这种改变,我开始收到来自相同风格的访问者(美国-欧洲/MSIE)的其他奇怪请求,这些请求来自像 /amgdgt/ife.html /adx-iframe-v2.html 这样的奇怪页面。

有什么建议可以确定发生了什么吗?

我最后的解释:恶意软件/木马/机器人,正在使用我的页面名称作为引荐来源来欺骗广告公司!

我发现我的页面列在 snort.org 的日志文件中,如下所示:ib.adnxs.com/ptj ?member=77764&size=160x600&inv_code=77142343&referrer= http://www.mywebsite.com/myoldpage.html &redir=http:/ /ad.yieldmanager.com/st/anmember=7764%26anprice=7BPRICEBUC..

但是为什么对我的网站的请求?!

无论如何,有人对这样的广告机器人有任何想法吗?以及如何阻止它?

4个回答

它是一种影响 Windows PC 的木马,名为 TROJ_OBVOD.TA 或 Trojan.Obvod。发现时间:2012 年 7 月 14 日。此木马连接到以下站点,以获取恶意软件访问/访问的 URL 列表以实现按点击付费方案:

{BLOCKED}3.*.in

该列表包含一百个 URL,包括我的。

我有一个建议。为什么不选择那些被这些奇怪的访问者访问并且您不用于任何合法目的的网页之一,并将其​​替换为一个登陆页面,该登陆页面要求任何看到该页面的人提供有关他们如何使用的信息到了那个页面?或许您可以将其设计为用户满意度调查:(1) 您对该网站的满意度如何?(2) 你是怎么到这个页面的?如果您没有立即得到回复,您可以提供奖励(例如,一张免费 iPad 的图纸;或在亚马逊上为每个回复的人提供免费 MP3)。

另一个建议。您可以为对该页面的访问启用完整日志记录,并记录所有 HTTP 标头,以查看您是否可以在标头中发现任何常见元素。

让我再确认几件事。 没有一个奇怪的请求有Referer:标题吗?这有点奇怪。此外,所有奇怪的请求都表明访问者在页面上花费了 10 秒——不是更多,也不是更少,而是正好 10 秒?这很奇怪。您可能会在页面上放置一些 Javascript 来记录页面何时加载以及人们何时离开页面,以确认它是否正好是 10 秒。我不知道“正好 10 秒”的统计数据是否是真的,但如果它是准确的,它似乎可能是某种线索。

快速检查:使用 Google 查看是否有人链接到您的页面。尝试,例如,link:http://www.yoursite.com/yourpage.html

对我来说,听起来您的网站正受到一些自动化工具的攻击。你在网站上安装了什么软件?确保它是最新的。

您能否检查您的访问日志以查看请求是否包含任何奇怪的 POST 或 GET 参数?

其它你可能感兴趣的问题
上一篇面向开发人员的安全测验 下一篇经过身份验证的加密与包含和加密的校验和/哈希?