Google Analyticsを最近見たところ、奇妙な現象に気付きました。過去数週間、使用されなくなったURLに対して600のリクエストを行う3人のユニークユーザーがいました。
いくつかのアクセスログを調べてさらに調査したところ、これらのリクエストのバーストの1つを見ることができました。単一のIPアドレス(Windows 7でIE10.0を使用)から来ており、既存のURLに対して正当な要求を行っています。しかし、その最初のリクエストの後、その古い非アクティブなURLに対して10〜27のリクエストがあり、平均して毎秒1つのリクエストがあります。その後、別のURLに対する別の正当なリクエスト、古いURLに対する10-27リクエストなどがあり、パターンが繰り返されます。
IPアドレスが属している会社に連絡しましたが、奇妙な要求の理由を得ることができませんでした。ブラウザにプラグインやマルウェア、または私のサイトにアクセスしたときにリクエストのバーストを送信しているものがあるのでしょうか?誰かこのようなものを見たことがありますか?一般的に単に迷惑であることに加えて、それは本当に私のGoogle Analyticsを台無しにしています。
ログのサンプルを次に示します(ドメイン名やその他のものは、本当に長いため変更しました):
193.183.71.20 - - [25/Nov/2014:01:41:55 -0600] "GET /swe/ HTTP/1.1" 200 14009 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:41:56 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:41:58 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:41:59 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:00 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:00 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:01 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:02 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:03 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:04 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:04 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:05 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:06 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:07 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:07 -0600] "POST /search-redirect.php HTTP/1.1" 302 - "http://www.my-site/swe/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:08 -0600] "GET /swe/search/2014 HTTP/1.1" 200 14830 "http://www.my-site/swe/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:09 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/search/2014" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:09 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:10 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:11 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:12 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:13 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:14 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:15 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:15 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:16 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:17 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:18 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
ご覧のとおり、最初の通常ページ要求が1つあり、その後に13の奇妙な要求があります。次に、別の正当な要求があります(そこに302リダイレクトを行う.htaccessの書き換えがありますが、他の99.99%のユーザーに対しては正常に機能するようですので、何の関係もありません)。
IPは、サイトのターゲットオーディエンスの1つであるスウェーデンの合法かつ有名な会社に属しています。
概して、これらは無害であるように見えます。ユーザーがページを絶えず更新しているか、サイトによっては信じられる可能性があるか、マルウェアなどのユーザーブラウザーに何か問題があるかのように見える検索投稿以外の外観からマシンまたはブラウザの再構成で、ブラウザが常に更新されている。ユーザーエージェント文字列は正規のIEシーケンスのように見えますが、これはスプーフィングされる可能性があります。これは本物の攻撃ではないようです。誰かがマシンにマルウェアを持っている可能性が高く、Webサイトにアクセスしようとすると、ブラウザーはそれらを更新し続けます。
この時点で、サイトのパフォーマンスに影響を与える一定の更新が開始されないか、より異常なまたは多数のPOSTリクエストが表示されない限り、この点について過度に心配することはありません。