偽装されたユーザーエージェント




トップページへ

個人的メモです。

偽装の目的はわかりませんが、何かしらの意図があると思いますし、犯罪とは言わないもののグレーなので列挙します。

■Googlebot と名乗りつつ実際はGoogleとは全く異なった場合

 

Amazon EC2 IAD prefix (使用サーバーはアメリカ US)

初回発見日時:2024/5/30 22:32

2回目:2024/6/23 14:46

 

Amazon EC2 ARN Prefix (使用サーバーはアメリカ US)

初回発見日時:2024/6/22 17:48

特徴:/.git/config へのアクセス

 

RACKIP CONSULTANCY PTE. LTD. (JP)
RACKIP CONSULTANCY PTE. LTD. (HK)

初回発見日時:2024/6/21 20:23前後

使用サーバーは日本(JP)と香港(HK)

 

ShenZhenRunXunShuJuTongXinYouXianGongSi (使用サーバーは中国 CN)

初回発見日時:2024/6/21 13:14

(この記事の下部で詳細)

 

MNT-20i (GB, www.20i.comと推定) (使用サーバーはイギリス GB)

初回発見日時:2024/6/18 22:54

 

PT Qwords Company International  (使用サーバーはインドネシア ID)

初回発見日時:2024/6/18 15:22

 

DigitalOcean (使用サーバーはアメリカ US)

初回発見日時:2024/6/10 15:04

2回目:2024/6/15 1:11

特徴:特定のURLのみ

 

PROTON66  (使用サーバーはロシア RU)

初回発見日時:2024/6/2 3:07

2回目:2024/6/15 0:42

特徴:/.git/config へのアクセス、存在しないディレクトリへのアクセス

 

ALAXONA (使用サーバーはドイツ DE)

初回発見日時:2024/6/9 19:46

 

Ningbo Zhuo Zhi Innovation Network Technology (使用サーバーは中国 CN)

初回発見日時:2024/6/9 1:56

2回目:2024/6/16 17:47

特徴 存在しないファイルへのアクセス

 

Amazon EC2 DUB prefix (使用サーバーはアメリカ US)

初回発見日時:2024/6/6 12:10

 

GoDaddy.com, LLC (使用サーバーはアメリカ US)

初回発見日時:2025/6/1 17:18

 

ORANGE SPAIN (使用サーバーはスペイン ES)

初回発見日時:2024/5/31 16:34

2回目:2024/6/9 7:37

 

1&1 IONOS SE (使用サーバーはドイツ DE)

初回発見日時:2024/5/25 13:45

 

Digitalocean (使用サーバーはオランダ NL)

初回発見日時:2024/5/24 11:35

2回目:2024/6/15 1:11

 

■Googlebot-Image/1.0 を名乗りつつ実際は異なった場合

China Telecom (使用サーバーは中国 CN)

初回発見日時:2024/6/7 19:08

2回目:2024/6/12 14:50-21:14まで複数回

3回目:2024/6/13 20:23から複数回

4回目:2024/6/14 13:35

特徴:ほぼ毎回特定のファイル、URLへのアクセス

 

なお、正規のGoolgeかどうかは「クローラーが Googlebot などの Google クローラーであることを確認する」を参考にしております。

 

■DuckDuckBotを名乗りつつ実際は異なった場合

Web4Africa  (使用サーバーは南アフリカ ZA)

Tencent Cloud Computing (Beijing) Co., Ltd  (使用サーバーは中国 CN)

初回発見日時:2024/6/8 23:38

備考:アクセス禁止ファイルへのアクセス

 

正規かどうかは「Is DuckDuckBot related to DuckDuckGo?」のIPアドレス一覧から判断しました。

 

 

ユーザーエージェントを偽装した「中国系組織 ShenZhenRunXunShuJuTongXinYouXianGongSi」の挙動

 

ShenZhenRunXunShuJuTongXinYouXianGongSi

国:中国

下はログを簡素化したものです。複数のユーザーエージェント(UA)に偽装しながらアクセスを試みていますが、存在しないファイルばかり、かつ中国全体をブロックしているので実害はありませんでした。

一方、偽装された baidu や Google 等にとっては迷惑な行動と判断される可能性があります。

では「動機は?」となると不明ですが、私の仮説として「サーバーコード 301(転送) を返したサーバーに対し何かを試みようとしているのかも」しれません。

 

[21/Jun/2024:13:15:13 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; YodaoBot/1.0; http://www.yodao.com/help/webmaster/spider/\xA1\xB1; )”

[21/Jun/2024:13:15:13 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “AppleWebKit/534.46 (KHTML,like Gecko) Version/5.1 Mobile Safari/10600.6.3”

[21/Jun/2024:13:15:11 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; YodaoBot/1.0; http://www.yodao.com/help/webmaster/spider/\xA1\xB1; )”

[21/Jun/2024:13:15:11 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “(compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html\xA3\xA9”

[21/Jun/2024:13:15:08 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “msnbot/1.0 (+http://search.msn.com/msnbot.htm\xA1\xB1)”

[21/Jun/2024:13:15:08 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “Sogou Push Spider/3.0(+http://www.sogou.com/docs/help/webmasters.htm#07\xA1\xE5)”

[21/Jun/2024:13:14:59 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Googlebot/2.1 (+http://www.googlebot.com/bot.html)”

[21/Jun/2024:13:14:59 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “Sogou web spider/3.0(+http://www.sogou.com/docs/help/webmasters.htm#07\xA1\xE5)”

[21/Jun/2024:13:12:27 +0900] “GET /static/images/nopic.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html\xA1\xB1)”

[21/Jun/2024:13:12:27 +0900] “GET /template/default/images/user.png HTTP/1.1” 403 318 “Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html\xA1\xB1)”

 

関連記事

Webロボット/Webクローラー/Webスパイダーについてのメモ





ほかの PC,サーバーのトラブル の記事

セキュリティホールを狙うアクセスログ例

ClaudeBotをブロック(Disallow)したい

そのIPアドレスが危険かどうかを調べるには?

アクセスしてはいけない危険なサイト

偽のセキュリティーセンターは消すだけで解決します