web-dev-qa-db-fra.com

Qu'est-ce que l'ajout de variables p, subid et uid à la chaîne de requête d'une URL de site?

L'un de nos sites consulte environ 100 sessions par jour sur la page d'accueil avec une chaîne de requête semblable à celle-ci:

?p=1471086892&subid=526&uid=48752857D549575A

Chacun a la même valeur pour "p" mais un "subid" et un "uid" différents.

J'essaie de comprendre d'où proviennent ces variables.

J'ai examiné les journaux d'accès et Google Analytics et j'ai constaté que 98% du trafic était nouveau et que le référent était signalé comme notre propre site Web, même si le journal d'accès en indiquait la demande de première page pour l'adresse IP.

Notre site n'utilise pas ces variables. D'où ils viennent est un mystère.

J'ai exploré la possibilité que les variables soient liées à un cookie ou à un événement de suivi d'un service publicitaire ou d'analyse. Je n'ai pas encore trouvé de preuves corroborant cette hypothèse.

Le fait de masquer ou d'usurper la référence me fait me demander si elle est liée au botnet. Mes soupçons à cet égard se sont renforcés lorsque j'ai constaté que le trafic était réparti de manière homogène sur plusieurs pages du site. il a un taux de rebond uniforme et un temps uniforme sur la page de presque exactement 1 minute; il accède à des éléments de navigation mineurs (par exemple, une page de confidentialité) à une fréquence supérieure à celle d’ordinaire; et enfin, il n'y a pas d'IP commun ou d'agent utilisateur.

Lorsque j'ai cherché sur Google la portion uid de la chaîne de requête, j'ai trouvé d'autres sites ayant la même chaîne de requête avec une valeur p différente. Voici quelques exemples:

http://www.aikiweb.com/index.html?p=1470451589&subid=999&uid=AE1D5F14EEC420BA
http://www.kiro7.com/?p=1470425109&subid=616&uid=2D6F158100C33AEE
http://www.fox23.com/?p=1470412751&subid=703&uid=DEF705E09B5A3DFA
http://www.wpxi.com/?p=1470334006&subid=703&uid=DEF705E09B5A3DFA

Donc, ce n'est pas unique pour nous. J'ai examiné chaque pierre à laquelle je peux penser, alors je cherche de l'aide auprès de la communauté. Quelqu'un a-t-il déjà rencontré cela? Avez-vous des idées sur d'autres choses sur lesquelles je pourrais enquêter qui pourraient donner une réponse à la cause de ceci?

---- 5/27/17 Mise à jour ----

Nous avons commencé à rediriger le trafic correspondant au modèle vers une page contenant un captcha. Un mois plus tard, plus de 6 000 sessions correspondant à ce modèle sont allées sur cette page. Aucun n'a passé le captcha. Cela ne semble pas être une activité humaine.

Si vous souhaitez consulter les analyses de votre site pour vous assurer que le trafic correspond à ce modèle, vous pouvez utiliser la correspondance d'expression régulière suivante avec la page de destination: p=(\d{10})&subid=(\d{3})&uid=([A-Z\d]{16})

google-analyticstrackingurl-parametersquery-stringbotattack
3
PeterA

Ce sont tous utilisés dans les URL de suivi.

Un SubID est une chaîne de caractères alphanumériques générée à la fin d'une URL de redirection, qui enregistre une variable définie par l'utilisateur. uid est un identifiant unique. Vérifiez si vous avez un programme d'affiliation

2
Kishwar Mohideen

Nous en avons vu un grand nombre également. Enregistré des centaines de hits sans une seule interaction sur un site avec un taux de rebond typique de moins de 10%. C'est un robot.

Il n'y a pas d'IP unique, mais ils semblent tous être basés aux États-Unis. Il y a quelques semaines, c'était assez rare. Maintenant, je peux avoir quelques centaines de hits par heure. Si c'est un virus, il grossit progressivement.

Je voudrais savoir si quelqu'un a des informations à ce sujet.

0
Harry