web-dev-qa-db-fra.com

Est-ce vraiment GoogleBot, ou est-ce un spammeur?

J'ai trouvé cette adresse IP dans mon journal des accès en postant à plusieurs reprises des milliers de fois. Est-ce vraiment GoogleBot, ou est-ce un spammeur? J'hésite à le bloquer.

185.62.188.98 - - [13/May/2015: 18: 54: 33-0400] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html ) "

[root@Host ~]# tracepath 185.62.188.98
 1:  107.170.3.254 (107.170.3.254)                          0.740ms
 2:  192.241.164.237 (192.241.164.237)                      0.550ms
 3:  nyk-b6-link.telia.net (62.115.35.101)                  4.754ms
 4:  nyk-bb2-link.telia.net (80.91.254.37)                 23.416ms asymm  5
 5:  ash-bb4-link.telia.net (62.115.137.66)                 7.765ms
 6:  ash-b1-link.telia.net (213.155.130.73)                 9.070ms
 7:  voxility-ic-311384-ash-b3.c.telia.net (62.115.55.66)  13.089ms
 8:  no reply
 9:  no reply
10:  no reply
11:  gw-blazingfast.voxility.net (5.254.105.110)          116.693ms
12:  hosted-by.blazingfast.io (185.62.188.98)              97.844ms reached
     Resume: pmtu 65535 Hops 12 back 53
googlebotspamspam-preventioniptables
1
Chloe

Non, ce n'est pas Google.

Google ne voudrait pas POST /xmlrpc.php. Il peut s’agir d’une analyse de vulnérabilité ou d’une attaque contre une vulnérabilité existante pouvant ou non exister sur votre site.

185.62.188.98 est hébergé-by.blazingfast.io. Lorsque vous voyez quelque chose comme hébergé par en tant que sous-domaine, il s'agit évidemment d'un hôte Web, mais également d'un bloc d'adresses anonymes dans lequel le serveur est protégé via un enregistrement DNS PTR semi-fictif. Il n'est pas rare que les noms de domaine de systèmes hébergés ne correspondent pas à l'enregistrement PTR, mais des sous-domaines génériques tels que celui-ci sont plus que paresseux et indiquent une société d'hébergement permissive (dans mon livre de toute façon). Ils sont parfois utilisés par des gens qui ne valent rien. Pas un acte d'accusation, juste commun. J'ai une tonne de ces types de sous-domaines dans ma base de données d'abus.

Bloquer par adresse IP:

Apache .htaccess File

RewriteCond %{REMOTE_ADDR} ^185\.62\.188\.98$ [NC]
RewriteRule .* - [F,L]

Pare-feu Cisco

access-list deny-185-62-188-98-32 deny ip 185.62.188.98 any
permit ip any any

Nginx

Editez nginx.conf et insérez include blockips.conf; si ça n'existe pas. Editez blockips.conf et ajoutez ce qui suit:

deny 185.62.188.98;

Microsoft IIS serveur Web

<rule name="abort ip address 185.62.188.98/32" stopProcessing="true">
 <match url=".*" />
  <conditions>
   <add input="{REMOTE_ADDR}" pattern="^185\.62\.188\.98$" />
  </conditions>
 <action type="AbortRequest" />
</rule>

Pare-feu Windows netsh ADVFirewall

netsh advfirewall firewall add rule name="block-ip-185-62-188-98-32" dir=in interface=any action=block remoteip=185.62.188.98/32
2
closetnoc

Je peux convenir que ce n'est certainement pas du tout Google.

Cette page Web http://www.whois.com/whois/185.62.188.98 me dit que cela provient d’un système en Ukraine appelé blazingfast.

Avant de bloquer franchement l'adresse IP, vous devez déterminer le type de personnes que vous souhaitez accueillir sur votre site.

Il est tout à fait possible que quelqu'un sur ce réseau possède simplement un ordinateur piraté et que si vous gérez un site avec des annonces et que le pauvre utilisateur derrière l'ordinateur piraté veuille cliquer sur l'annonce et que vous la bloquez, vous perdez votre chance de gagner de l'argent.

Maintenant, si vous savez avec certitude que votre site Web n'est jamais destiné à la région ukraine, vous pouvez alors aller de l'avant et le bloquer.

Vous pouvez même retirer ceci dans PHP si toute votre application Web y est écrite. Il suffit d'insérer ce code juste après la balise php d'ouverture dans tous les fichiers php d'entrée (tels que index.php)

if ($_SERVER['REMOTE_ADDR']=="185.62.188.98"){
echo "Access denied";
exit();
}

En gros, il vérifie simplement l'adresse IP et, si elle correspond à celle sur laquelle vous avez posé votre question, il n'indique que "l'accès refusé" à l'écran.

1
Mike

J'avais l'habitude de recevoir beaucoup d'attaques de leur part sur mes serveurs. Je les ai bloqués via un pare-feu CSF. Si vous souhaitez bloquer leur plage, mettez ceci dans votre fichier de refus pour CSF (sans les espaces):

185.11.144.0/22 # do not delete hosted-by.blazingfast.io

185.11.145.0/24 # do not delete hosted-by.blazingfast.io

185.11.146.0/24 # do not delete hosted-by.blazingfast.io

185.11.147.0/24 # do not delete hosted-by.blazingfast.io

185.61.136.0/22 # do not delete hosted-by.blazingfast.io

185.62.188.0/23 # do not delete hosted-by.blazingfast.io

185.62.188.0/24 # do not delete hosted-by.blazingfast.io

185.62.189.0/24 # do not delete hosted-by.blazingfast.io

185.62.190.0/23 # do not delete hosted-by.blazingfast.io

185.62.190.0/24 # do not delete hosted-by.blazingfast.io

185.62.191.0/24 # do not delete hosted-by.blazingfast.io

188.209.48.0/23 # do not delete hosted-by.blazingfast.io

188.209.48.0/24 # do not delete hosted-by.blazingfast.io

188.209.49.0/24 # do not delete hosted-by.blazingfast.io

188.209.50.0/23 # do not delete hosted-by.blazingfast.io

188.209.52.0/23 # do not delete hosted-by.blazingfast.io

188.209.52.0/24 # do not delete hosted-by.blazingfast.io

188.209.53.0/24 # do not delete hosted-by.blazingfast.io
0
Laris