Welcome!

By registering with us, you'll be able to discuss, share and private message with other members of our community.

SignUp Now!

Massenweise "http://yandex.ru/..." - Fake-Referrer?

Arithmos

Arithmos

Erfahrener Benutzer
Registriert
06. Sep. 2007
Beiträge
3.929
Reaktionspunkte
8
Schon seit längerem fallen mir gefakte Referrer von yandex.ru in meinen Logfiles auf.
Heute ist es aber ganz heftig.

So sehen die Zeilen z.B. aus:

95.25.205.127 - - [20/Sep/2010:22:29:32 +0200] "GET / HTTP/1.1" 200 2544 "http://yandex.ru/yandsearch?text=%f1%ee%ea+%ed%ee%ed%e8" "Opera/9.00 (Windows NT 5.0; U; ru)"

Die IP wechselt, ebenso der User-Agent. Und der Referrer zeigt auf irgendein (meist kyrillisches) Suchergebnis, das mit meinen Domains rein gar nichts zu tun hat.

Was hat es denn damit auf sich? Finde beim googlen nichts Brauchbares.
 
Dieser Refererspam nimmt in letzter Zeit wieder zu... Leider ist es sehr einfach umzusetzen und scheinbar bringt es etwas Ansonsten würden es nicht so viele machen. Normalerweise wird eine Domain nach öffentlich zugänglichen webalizer oder ähnlichen Analyse Tools abgescannt (manchmal auch ohne Scann auf gut Glück) und dann dort über die Referer Auswertung ein Link platziert. In diesem Fall sehe ich nicht wirklich einen Sinn, außer das der Websiteinhaber mal drauf klickt.
 
Hola,

Interessant, ist mir bisher noch gar nicht aufgefallen.
Ähnliche Referer hab ich seit 18.09. ebenfalls - davor jedoch gar nicht.

Ich gehe ebenfalls davon aus, dass die Webseiten gescannt werden, um irgendwelche Vulnerabilities zu finden.
Der Referer auf Yandex soll nur Spuren verwischen. Yandex ist ein bekanntes Webportal in RU. (siehe Yandex - Wikipedia, the free encyclopedia)

Die wechselnden Client-IP's kommen alle aus einem IP-Pool eines russischen Providers: z.B. 95.24.0.0 - 95.30.255.255
Code: 
% Information related to '95.24.0.0 - 95.30.255.255'

inetnum:        95.24.0.0 - 95.30.255.255
netname:       	CORBINA-BROADBAND
descr:          Dynamic IP Pool for broadband customers
country:        RU
admin-c:        CORB1-RIPE
tech-c:         CORB1-RIPE
status:         ASSIGNED PA
mnt-by:         RU-CORBINA-MNT
source:		RIPE # Filtered
Da die unterschiedlichen IP's parallel auf die Webseiten losgehen, ist davon auszugehen, dass es sich dabei um ein Bot-Netz handelt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

werbecheck
Massenweise Domains bei eBay zu utopischen Preisen?
Antworten
3
Aufrufe
573
goodman
goodman
D
http.sex
Antworten
0
Aufrufe
374
doname
D
A
Verkauf: http://my-allnet-flat.de/
Antworten
0
Aufrufe
539
AdMarkt
A
Chrissi
Gasanbietervergleich (http://www.gasanbietervergleich.eu)
Antworten
0
Aufrufe
557
Chrissi
Chrissi
Chrissi
http://www.billige-stromanbieter.eu
Antworten
0
Aufrufe
511
Chrissi
Chrissi
Zurück
Oben