Что добавляет переменные p, subid и uid в строку запроса URL-адреса сайта?

Один из наших сайтов видит ~ 100 сеансов в день приземления на домашней странице с помощью строка запроса, например, следующее:

?p=1471086892&subid=526&uid=48752857D549575A

Каждый имеет то же значение для «p», но отличается «субад» и «uid».

Я пытаюсь выяснить, откуда эти переменные.

Я просмотрел журналы доступа и Google Analytics и обнаружил, что 98% трафика является новым, и реферер сообщается как наш собственный веб-сайт, хотя журнал доступа указывает его запрос на первую страницу для ip.

Наш сайт не использует эти переменные. Откуда они происходят, это тайна.

Я изучил возможность того, что переменные связаны с событием cookie или отслеживанием из службы объявлений или аналитики. Мне еще предстоит показать доказательства, подтверждающие эту гипотезу.

Тот факт, что он маскирует или подталкивает реферал, заставляет меня задаться вопросом, связано ли это как-то связанное с ботнетом. Мои подозрения об этом усилились, когда я заметил, что трафик равномерно распределен между страницами на сайте; он имеет равномерную частоту отказов и равномерное время на странице почти ровно 1 мин; он обращается к второстепенным навигационным элементам (например, странице конфиденциальности) с большей частотой, чем обычный; и, наконец, нет обычного агента ip или пользователя.

Когда я googled часть uid строки запроса, я обнаружил, что другие сайты имеют одну и ту же строку запроса с другим значением p. Вот несколько примеров:

http://www.aikiweb.com/index.html?p=1470451589&subid=999&uid=AE1D5F14EEC420BA
http://www.kiro7.com/?p=1470425109&subid=616&uid=2D6F158100C33AEE
http://www.fox23.com/?p=1470412751&subid=703&uid=DEF705E09B5A3DFA
http://www.wpxi.com/?p=1470334006&subid=703&uid=DEF705E09B5A3DFA

Таким образом, это не уникально для нас. Я смотрел под каждый камень, о котором я могу думать, поэтому я обращаюсь к сообществу за помощью. Кто-нибудь сталкивался с этим раньше? Есть ли у вас какие-либо мысли о других вещах, которые я мог бы расследовать, которые могут повлиять на то, что вызывает это?

---- 5/27/17 Обновление ----

Мы начали перенаправление трафика, сопоставляющего шаблон со страницей, содержащей капчу. Через месяц более 6000 сеансов, соответствующих этому шаблону, перешли на эту страницу. Никто не передал капчу. Это не кажется человеческой деятельностью.

Если вы хотите проверить аналитику своего сайта для трафика, соответствующего этому шаблону, вы можете использовать следующее соответствие регулярному выражению с целевой страницей: p=(\d{10})&subid=(\d{3})&uid=([A-Z\d]{16})

3 голоса | спросил PeterA 18 AMpTue, 18 Apr 2017 10:59:42 +030059Tuesday 2017, 10:59:42

2 ответа


2

Все они используются для отслеживания URL-адресов.

SubID - это строка буквенно-цифровых символов, сгенерированных в конце URL-адреса переадресации, которая записывает пользовательскую переменную. uid - уникальный идентификатор. Проверьте, есть ли у вас партнерская программа

ответил Kishwar Mohideen 20 PMpThu, 20 Apr 2017 21:33:56 +030033Thursday 2017, 21:33:56
0

Были и многие из них. Записал сотни обращений без единого взаимодействия на сайте с типичной частотой отказов менее 10%. Это робот.

Нет единого IP-адреса, но все они, похоже, основаны на США. Несколько недель назад это было довольно редко. Теперь я могу получить пару сотен ударов в час. Если это вирус, он постепенно увеличивается.

Было бы интересно узнать, есть ли у кого информация об этом.

ответил Harry 14 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 14 Sep 2017 20:33:47 +0300 2017, 20:33:47

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132