Augmentation anormale visiteurs directs en-US venant de France (paris)

[noren]

Bonjour

Bon ca fait quelques semaines que j'ai une augmentation anormale de visiteurs directs en-US (mais de france...) mais impossible d'arriver a détecter ces visiteurs avec mes logs...
Tous viennent de paris selon analytics. le taux de rebond est de 100 et temps de visite 0s

J'ai essayé de me créer des logs persos en recuperant uniquement les ip sans referer, ceux sans langue ou en-US, mais honnêtement dans tous les résultats impossible de réellement détecter le problème et d'identifier des ip qui sortent du lot.

ca me rend chèvre.

Je soupçonne des ip du genre 62.210.245.47 (62.210....) ou du type : 195.154.194.171 (195.154...)

Quand je fais le whois sur ces ip j'ai ce genre de resultat :

IP Address 195.154.194.171
Host 195-154-194-171.rev.poneytelecom.eu
Location FR FR, France
City -, - -
Organization Iliad Entreprises Customers
ISP Free SAS

Poneytelecom.eu , kezako ????

On dirait des Ip de free, mais 99% de ces visiteurs avec ce type d'ip sont directs ce qui me semble douteux.
Rien n'indique non plus dans le user-agent qu'il s'agisse de bots.

Savez vous si ce type d'adresse ip sont connus pour ce type de soucis ? ou quelle technique efficace utiliser pour repérer d'ou vient le problème ?

Exmeple d'user-agent correspondant a ce type d'IP :

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0, langue : en

ce n'est donc pas l'UA d'un bot a priori.

 

[spout]

Poneytelecom.eu , kezako ????

Private joke de online.net

ce n'est donc pas l'UA d'un bot a priori.

Un UA ça se change trop facilement. J'ai développé plusieurs scrappers PhantomJS/Scrapy avec des UA genre Firefox, Chrome, etc :mrgreen:

 

[noren]

@spout: ce qui rend d'autant plus difficile d'identifier ces fichus visites directes.... :?

Alors j'ai une autre info qui peut aider à comprendre. Lorsque je regarde la source en fonction du domaine du réseau pour mes visiteurs directs je vois que ces domaines ressortent :

tourcom.fr
mrted.com
poneytelecom.eu
orbus.fr
rqdnet.fr

et également une augmentation de unknown.unknown

A quoi ca correspond et comment identifier la source du problème ? pourquoi des visiteurs directs avec des Ip passant par ces domaines de réseau (host) ?

je n'ai aucun moyen en php d'identifier quand il s'agit d'une ip d'un de ces réseau ? Ou de connaitre l'ensemble des plages d'Ip qu'ils utilisent pour les bloquer dans le .htaccess ?

 

[spout]

A quoi bon alourdir ton .htaccess qui est parsé à chaque request, même pour tes static. Tu vas bloquer des IPs, ils vont revenir à la charge avec des centaines d'autres (VPN, proxies, etc...)
Il faudrait limiter le nombre de requests / minute, mais il faut autoriser ceux de Google bot, Bing, ...

Si c'est du PhantomJS, c'est +/- détectable avec: http://engineering.shapesecurity.com/2015/01/detecting-phantomjs-based ... itors.html
Mais il y a plein d'autres headless browsers (c-a-d qui exécutent le JS aussi): Selenium, SlimerJS, ghost.py, ...

Bref c'est pas gagné.

 

[noren]

Merci pour ta réponse

réduire le nombre de requêtes par minute dans le cas présent ne servirait à rien (je pense) dans la mesure ou ces faux visiteurs visites qu'une seule page et pour le moment a priori de facon assez espacé.

Et comme tu dis ca devient plutôt difficile pour vérifier si c’est via du PhantomJS ou autre chose

Pour le moment ce qui est à tenter c’est le blocage des IP, j'ai tenté hier de bloquer les ip commençant par 62.210 (je devrais peut etre etre moins restrictif). Et pour le moment ça semble assez concluant je verrais ça en fin de journée voir demain pour en tirer des conclusions. résultat suffit d'ajouter une seule ligne dans le .htaccess qui ne devrait pas réellement diminuer les performances.

Pour moi clairement ces ip du domaine de réseau poneytelecom.eu ne sont pas net. Quand je regarde c’est tous des visiteurs directs. ils ne visitent jamais plus d'une page, et j'en ai a toutes heures même tard dans la nuit.

Par contre ce que je comprend pas c’est d'où ces visiteurs peuvent venir, pourquoi et quelle est l’intérêt de celui ou du robot qui se cache derrière tout ça ?

D'ailleurs que poneytelecom.eu soit online qu'est-ce que cela signifie vraiment. Je maîtrise pas très bien tout ca. online c’est un hebergeur web, pas un fournisseur d’accès internet ? et quel est le lien entre online et free ?
Et qu'est ce que ca signifie concrètement quand on a des visiteurs provenant de ces domaines de reseau qui ne sont ni (wanadoo, sfr etc.)

est-ce qu'en bloquant les ip 62.210 je bloque les internautes de free ? Comment connaitre quels sont les plages ip utilisées par le FAI free ?

 

[spout]

C'est des visites provenant des dédiés online.net.

 

[noren]

ok merci, donc effectivement ces visites n'ont rien de bien naturels