偽装されたユーザーエージェント






トップページへ

個人的メモです。

偽装の目的はわかりませんが、何かしらの意図があると思いますし、犯罪とは言えないもののグレーなので列挙します。

 

■Googlebot と名乗りつつ実際はGoogleとは全く異なった場合

 

偽装とは断言はできませんが、Nybula LLC(米アンカレッジ)

Googlebot/2.1

検索エンジンと同様のクロールで意図が不明

初回発見日時:2024/12/1

 

Amazon Technologies Inc (使用サーバーはアメリカ US)

初回発見日時:2024/7/12 6:30

2回目:2024/11/8 22:04

 

DigitalOcean (使用サーバーはアメリカ US)

初回発見日時:2024/6/10 15:04(パターンA)

2回目:2024/6/15 1:11(パターンA)

3回目:2024/10/18 14:25(パターンB)

特徴:

パターンA:特定のURLのみ

パターンB:いわゆるDos攻撃。HEADリクエストを大量に含んだアクセスを1秒間に50以上を複数行われたことで一時的にサーバーが過負荷状態に。対処は「IPアドレスブロック

 

RACKIP CONSULTANCY PTE. LTD. (JP)
RACKIP CONSULTANCY PTE. LTD. (HK)

使用サーバーは日本(JP)と香港(HK)

初回発見日時:2024/6/21 20:23前後

二回目:2024/8/17 15:48

xmlrpc.phpへのアクセスで結果403

 

 

GoDaddy / BOM Allocation (使用サーバーはアメリカ USと推定)

初回発見日時:2024/6/26 8:02

二回目:2024/8/11 4:09

 

PT Qwords Company International  (使用サーバーはインドネシア ID)

初回発見日時:2024/6/18 15:22

2回目:2024/8/6 20:45

 

Belarusian Cloud Technologies (使用サーバーはベラルーシ BY)

初回発見日時:2024/7/31 14:04

 

Contabo GmbH (使用サーバーはドイツ DE)

初回発見日時:2024/7/28 9:54

 

Dominios  (使用サーバーはポルトガル PT)

初回発見日時:2024/7/11 16:48

 

Chengdu Giant Times Technology (使用サーバーは中国 CN)

初回発見日時:2024/7/8 15:08

 

Amazon EC2 IAD prefix (使用サーバーはアメリカ US)

初回発見日時:2024/5/30 22:32

2回目:2024/6/23 14:46

3回目:2024/6/28 12:24

4回目:2024/6/29 9:40

5回目:2024/7/2 18:14

 

Amazon EC2 ARN Prefix (使用サーバーはアメリカ US)

初回発見日時:2024/6/22 17:48

特徴:/.git/config へのアクセス

 

ShenZhenRunXunShuJuTongXinYouXianGongSi (使用サーバーは中国 CN)

初回発見日時:2024/6/21 13:14

(この記事の下部で詳細)

 

MNT-20i (GB, www.20i.comと推定) (使用サーバーはイギリス GB)

初回発見日時:2024/6/18 22:54

 

PROTON66  (使用サーバーはロシア RU)

初回発見日時:2024/6/2 3:07

2回目:2024/6/15 0:42

特徴:/.git/config へのアクセス、存在しないディレクトリへのアクセス

 

ALAXONA (使用サーバーはドイツ DE)

初回発見日時:2024/6/9 19:46

 

Ningbo Zhuo Zhi Innovation Network Technology (使用サーバーは中国 CN)

初回発見日時:2024/6/9 1:56

2回目:2024/6/16 17:47

特徴 存在しないファイルへのアクセス

 

Amazon EC2 DUB prefix (使用サーバーはアメリカ US)

初回発見日時:2024/6/6 12:10

2回目:2024/7/12 9:37

 

 

GoDaddy.com, LLC (使用サーバーはアメリカ US)

初回発見日時:2025/6/1 17:18

 

ORANGE SPAIN (使用サーバーはスペイン ES)

初回発見日時:2024/5/31 16:34

2回目:2024/6/9 7:37

 

1&1 IONOS SE (使用サーバーはドイツ DE)

初回発見日時:2024/5/25 13:45

 

Digitalocean (使用サーバーはオランダ NL)

初回発見日時:2024/5/24 11:35

2回目:2024/6/15 1:11

 

■Googlebot-Image/1.0 を名乗りつつ実際は異なった場合

Amazon AWS (サーバーは不明)

初回発見日時:2024/8/14 17:36

二回目:2024/9/18 22:30

 

Amazon SIN prefix (使用サーバーはアメリカ US)

初回発見日時:2024/8/2 3:41

 

China Telecom (使用サーバーは中国 CN)

初回発見日時:2024/6/7 19:08

2回目:2024/6/12 14:50-21:14まで複数回

3回目:2024/6/13 20:23から複数回

4回目:2024/6/14 13:35

特徴:ほぼ毎回特定のファイル、URLへのアクセス

 

■Googlebot-Mobile/2.1 を名乗りつつ実際は異なった場合

Amazon AWS (サーバーは不明)

初回発見日時:2024/9/26 13:07

 

Contabo GmbH (使用サーバーはドイツ DE)

*補足 同じ時間帯でUAをwii libnup/1.0とも設定していた

初回発見日時:2024/9/9 22:11

 

企業名不明(表記上、GLOBAL-DATA/us-simple-1) (使用サーバーはセーシェル SC)

初回発見日時:2024/7/11 11:10

 

なお、正規のGoolgeかどうかは「クローラーが Googlebot などの Google クローラーであることを確認する」を参考にしております。

 

■Googlebot-News を名乗りつつ実際は異なった場合

Amazon EC2 SIN prefix (使用サーバーはアメリカ US)

初回発見日時:2024/7/27 0:14

二回目:2024/9/9 20:34

3回目:2024/9/21 5:20

 

■bingbot/2.0 を名乗りつつ実際は異なった場合

lime-net-mnt (使用サーバーはオランダ)

初回発見日時:2024/7/27 16:42

 

■DuckDuckBotを名乗りつつ実際は異なった場合

Web4Africa  (使用サーバーは南アフリカ ZA)

Tencent Cloud Computing (Beijing) Co., Ltd  (使用サーバーは中国 CN)

初回発見日時:2024/6/8 23:38

備考:アクセス禁止ファイルへのアクセス

 

正規かどうかは「Is DuckDuckBot related to DuckDuckGo?」のIPアドレス一覧から判断しました。

 

 

ユーザーエージェントを偽装した「中国系組織 ShenZhenRunXunShuJuTongXinYouXianGongSi」の挙動

 

ShenZhenRunXunShuJuTongXinYouXianGongSi

国:中国

下はログを簡素化したものです。複数のユーザーエージェント(UA)に偽装しながらアクセスを試みていますが、存在しないファイルばかり、かつ中国全体をブロックしているので実害はありませんでした。

一方、偽装された baidu や Google 等にとっては迷惑な行動と判断される可能性があります。

では「動機は?」となると不明ですが、私の仮説として「サーバーコード 301(転送) を返したサーバーに対し何かを試みようとしているのかも」しれません。

 

[21/Jun/2024:13:15:13 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; YodaoBot/1.0; http://www.yodao.com/help/webmaster/spider/\xA1\xB1; )”

[21/Jun/2024:13:15:13 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “AppleWebKit/534.46 (KHTML,like Gecko) Version/5.1 Mobile Safari/10600.6.3”

[21/Jun/2024:13:15:11 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; YodaoBot/1.0; http://www.yodao.com/help/webmaster/spider/\xA1\xB1; )”

[21/Jun/2024:13:15:11 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “(compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html\xA3\xA9”

[21/Jun/2024:13:15:08 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “msnbot/1.0 (+http://search.msn.com/msnbot.htm\xA1\xB1)”

[21/Jun/2024:13:15:08 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “Sogou Push Spider/3.0(+http://www.sogou.com/docs/help/webmasters.htm#07\xA1\xE5)”

[21/Jun/2024:13:14:59 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Googlebot/2.1 (+http://www.googlebot.com/bot.html)”

[21/Jun/2024:13:14:59 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “Sogou web spider/3.0(+http://www.sogou.com/docs/help/webmasters.htm#07\xA1\xE5)”

[21/Jun/2024:13:12:27 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html\xA1\xB1)”

[21/Jun/2024:13:12:27 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html\xA1\xB1)”

 

関連記事

Webロボット/Webクローラー/Webスパイダーについてのメモ






関連記事
セキュリティホールを狙うアクセスログ例

ClaudeBotをブロック(Disallow)したい

そのIPアドレスが危険かどうかを調べるには?

アクセスしてはいけない危険なサイト

偽のセキュリティーセンターは消すだけで解決します