Angriff oder Bug oder...?

Thema wurde von Anonymous, 20. Dezember 2021 erstellt.

  1. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.549
    Danke erhalten:
    228
    Danke vergeben:
    998
    Hallo Leute

    Seit 19.12 um 7 Uhr explodieren meine Server Logs mit Fehlern. Davor nichts aufälliges.
    Bei "Wer ist Online" sehe ich im Shop einen sehr merkwürdigen "Besucher".
    Dieser hat die IP 157.245.137.XXX

    Laut der "Online" Spalte links ist er seit nun geschlagenen 4 Stunden Online. Im Warenkorb hat "er" einen einzigen Artikel allerdings 1000000 x zu einem EUR Preis von Insgesamt 21290000 EUR. (Wohlgemerkt unser Shop ist eigentlich in CHF).

    Bei den URLs ist auffällig das der "Besucher" nur auf internen Seiten des Gambio Hubs unterwegs ist!
    Aktuell "GXModules/Gambio/Hub/Admin/Install

    Was genau geht da vor?
    Habe dazu auch ein Support Ticket erstellt:
    Support-Ticket #101276399

    Für schnelle Hilfe wäre ich sehr dankbar den seit das losging, läuft unser Shop furchbar langsam, bricht manchmal ganz zusammen und es dauert Ewigkeiten bis was auf der Seite passiert.
     
  2. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.549
    Danke erhalten:
    228
    Danke vergeben:
    998
    Kann man ausschliessen das diese IP in irgendeinerweise von Gambio / dem Hub stammt?
    157.245.137.XXX

    Sonst würde ich diese IP vorsichtshalber einfach mal via htacess aussperren...?
     
  3. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.549
    Danke erhalten:
    228
    Danke vergeben:
    998
    Auch sehr merkwürdig - Variationen dieser Ip Adresse (beginnen ebenfalls mit 157.) sind gleich mehrmals gerade in meinem Shop online und führen alle die gleiche Suchanfrage immer und immer wieder aus:

    "/de/advanced_search_result.php?keywords=Stein&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Binc_subcat=1&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bpage=3&amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bpage=3&amp%3Bamp%3Bamp%3Bpage=3&a"
     
  4. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.692
    Danke vergeben:
    903
    Hallo,

    wir haben dein Support-Ticket im Blick und schauen uns das genauer an. 157.245.137.XXX solltest du erst einmal ausperren können. Die IP-Range gehört mit sehr hoher Wahrscheinlichkeit nicht zu Gambio-Diensten.
     
  5. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    14. Juni 2018
    Beiträge:
    1.549
    Danke erhalten:
    228
    Danke vergeben:
    998
    Vielen Dank Moritz für die Bestätigung das ihr es schon auf dem Schirm habt, das beruhigt etwas.

    Merwürdig finde ich das wohl auch ein Bing Bot (IP 40.XXX) ähnliche Suchanfragen wie oben im Shop auslöst...
    Auch "Stein" und dann diese ganze Reihe an "3Bamp".

    Aber laut Google ist die IP clean:
    (Link nur für registrierte Nutzer sichtbar.)

    Hmm....warum macht der Bing Bot das?