Neu Sprunghafte Zunahme von Visits bei JTL Shops

[bbfdesign]

Moin,
wir beobachten im Moment bei einigen unserer Kunden sprunghafte Zunahmen von Visits. Das sieht dann so aus:









Wir möchten das gerne weiter Analysieren, da wir die Vermutung haben, dass es hier um einen "Angriff" handeln könnte. Es sind keine gezielten Angriffe auf einen Shop, sondern wir vermuten Angriffe auf die Software.

Es wäre gut, wenn Ihr mal bei euch schauen könnt, ob Ihr das auch habt. Wenn ja, dann wäre es gut, hier auch einmal einen entsprechenden Screenshot zu posten, damit man mögliche Gemeinsamkeiten erkennen kann und man auch Hosterübergreifende Ergebnisse bekommt.

Das sind alles unterschiedliche Server mit unterschiedlichen IP Adressen, Konfigurationen sowie Shopversionen. Es gibt auch keine Plugins, die bei allen System gleich wären. Ebenfalls schlagen sich die Besucherzahlen nicht in den Coverversions nieder.

Vielen Dank und einen guten Rutsch!

Gruß Björn

 

[sjk]

Moin,
Bei uns gabs am 26.12. auch so einen Peak mit etwa dem 2,5fachen unserer normalen Besucherzahl. Wir nutzen für die Analyse aber hauptsächlich Matomo, wo es zwar auch einen Ausreißer am 26. gibt, der dort aber nur etwa das 1,5fache des Durchschnitts beträgt und damit völlig im normalen Rahmen ist.

Mir ist das shopinterne Tool sowieso ein bisschen schleierhaft. Was geht da überhaupt alles als Besucher rein? Generell haben wir auf Matomo (ignoriert Bots) 1/2-1/3 der Besucher aus dem internen Tool...

 

[Frank Engelbrecht]

kann ich so auch feststellen, siehe Screenshot.



Hatte auch schon Logfile-Analyse betrieben, aber auch hier ist kein eindeutiger Verursacher festzustellen.

 

[bbfdesign]

Moin,
Bei uns gabs am 26.12. auch so einen Peak mit etwa dem 2,5fachen unserer normalen Besucherzahl. Wir nutzen für die Analyse aber hauptsächlich Matomo, wo es zwar auch einen Ausreißer am 26. gibt, der dort aber nur etwa das 1,5fache des Durchschnitts beträgt und damit völlig im normalen Rahmen ist.

Mir ist das shopinterne Tool sowieso ein bisschen schleierhaft. Was geht da überhaupt alles als Besucher rein? Generell haben wir auf Matomo (ignoriert Bots) 1/2-1/3 der Besucher aus dem internen Tool...

Es gibt Bots, die in der Lage sind, sich vor Trackingtools zu verstecken. Somit ist es durchaus erklärbar, warum es unterschiedliche Ergebnisse geben kann...

 

[lj-shadow]

Ich würde da nicht von einem Angriff auf Server / Shopsoftware ausgehen.
Vielmehr würde ich vermuten, dass das Bots sind, die nach Preisen suchen.

Also Mitbewerber, die euch scannen, was mMn verboten gehört, sofern es automatisch geschieht.

 

[css-umsetzung]

Es gibt Bots, die in der Lage sind, sich vor Trackingtools zu verstecken. Somit ist es durchaus erklärbar, warum es unterschiedliche Ergebnisse geben kann...

Wenn man sich anschaut was JTL in seiner Liste hat um BOTS zu erkennen, dann ist es egal ob die sich verstecken oder nicht, das ist ein verschwindend geringer Teil der da nur gefiltert wird.

Und ja, in allen Shops die ich betreue sind enorme Zugriffe festzustellen, was auch die Performance teilweise runterzieht.

 

[frankpeters]

Mich würde das Thema auch interessieren. Spannend ist es, dass es scheinbar mehrere verschiedene Shops betrifft. Preisroboter? Eher unwahrscheinlich. Hat jemand dazu ein Ticket laufen?

 

[css-umsetzung]

Da wo ich es geprüft habe waren es viele IP Adressen aus Korea und dieser Region, das ging teilweise so weit das Host Europe schon den Webspace dicht machen wollte.

 

[frankpeters]

Spannend. Shopversionen alles dabei? auch niedriger als 4.06?

 

[css-umsetzung]

Bei einem 4.05er hätte ich in dem Moment Panik, da die Chance dann höher wäre das es gezielte Hacker-Angriffe sind, denn es gab ja einige Sicherheitspatches seit dem.

 

[frankpeters]

D.h. bei euch ging es nur um 4.06er Shops?

 

[bbfdesign]

Es geht bei uns um 4.05er und 4.06er Shop inkl. dem aktuellsten Build.

 

[css-umsetzung]

Bei mir waren es da wo ich es gesehen habe 4.06er.

 

[frankpeters]

Ok ich bin gespannt, da es sich scheinbar um ein JTL Shop Crawler handelt. Die Frage ist nur wofür und warum in diesem Umfang?

 

[bbfdesign]

Genau das ist die Frage. Es freut mich, dass wir hier nicht alleine das beobachten konnten. Wir prüfen auf jeden Fall nun gezielt auf Gemeinsamkeiten. Trotzdem wäre es gut, wenn noch mehr Leute, die dieses Verhalten beobachten konnten, hier schreiben. Umsobesser lassen sich dann Vermutungen analysieren.

 

[billkaweb]

Hallo,

wir haben drei JTL-Shops 4.06, hier haben wir am 09.12 bei einem Shop einen Peak und am 23.12 beim zweitem Shop einen Peak festgestellt, beim dritten ist keine Auffälligkeit festzustellen.
Die Anzahl der Bestellungen ist konstant, also waren es scheinbar keine Enkundenbesucher (Zugriffe von Preisvergleichsplattformen, in denen wir gelistet werden, eingeschlossen).

Gruß
billkaweb

 

[bigboss]

Hi, bei uns war es aktuell ein Pole und viele Südkorea

einfah in de .htaccess

order allow,deny
deny from 159.138
deny from 203.133
#deny from 46.229.168
deny from 3.1
deny from 18.18
deny from 35.15
deny from 54.93
deny from 52.59
deny from 185.172
allow from all

dann war erst einmal ruhe

 

[css-umsetzung]

Wenn jemand einen eigenen Serrver hat bietet sich hier Fail2ban mit einem BadBot Filter an.
Bei meinem und bei vielen Kundenservern sind da ständig über 700 geblockte IPs die sich selber pflegen.

 

[lj-shadow]

Hast du zufällig nen passenden Filter?

Der standard Filter im plesk ist Mist

 

[css-umsetzung]

Ja, ich habe einen optimierten.
Schreib mich einfach an dann schicke ich dir den morgen per Mail.