¿Se puede definir a un visitante web como sospechoso? [Solucionado]
DesconectadoSaludos.
Seguro que este post viene más que todo por un nivel exagerado de paranoia, pero aún así, quiero salir de dudas.
Creé un sitio web hace muy poco, por lo que las visitas a éste son escasas y casi todas conocidas. Pero hay unas entradas de un usuario desconocido que me causa algo de sospechas: No tiene link de referencia original, entra varias veces al días en horas diferentes desde hace casi una semana (antes de que se hiciera el "lanzamiento" del portal) y no visita ninguna página ni ningún link, sólo llega hasta la portada del sitio, la cual no ha sido actualizada en tres días (No se hará diariamente, se explica eso también en portada).
Es usuario de alguna versión de Linux y conozco su ubicación, su IP y su ISP
¿Es este el comportamiento típico de un delincuente informático o el post de un paranoico?
Y si hubiera razones para sospechar... ¿Qué se podría hacer en estos casos?
Muchas gracias.
- Inicie sesión o regístrese para enviar comentarios
- 588 lecturas
Relacionado con ¿Se puede definir a un visitante web como sospechoso? [Solucionado]
Pues no se, ha hecho intentos de acceder a www.tudominio.com/admin, www.tudominio.com/administrator o similares?
Ankh-Morporkiano
¿No será un bot?
Pues no se, ha hecho intentos de acceder a www.tudominio.com/admin, www.tudominio.com/administrator o similares?
Gracias Pato.
No tengo manera de saberlo. El sistema de estadísticas no me marca esos intentos... pero ahora que lo dices, se me ocurre que colocando el script en el index de la administración sí funcione. Lo voy a hacer ya mismo. Buena sugerencia.
¿No será un bot?
¿Cómo saberlo?
La ISP es de la Universidad Nacional De Educacion A Distancia de madrid y utiliza Firefox 3.0.
El googlebot se reconoce, pero sobre este no sabría decirlo.
Loguea los access (directiva CustomLog si no mal recuerdo) el log es algo como:
190.31.198.21 - - [23/Sep/2008:12:51:04 -0300] "GET /publicidad/2pjluptnxadfq3pd4cjif9ybgiaq6.swf HTTP/1.1" 304 - "http://www.xxxxxx.com.ar/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16"190.183.123.184 - - [23/Sep/2008:12:51:04 -0300] "GET /js/diario.js HTTP/1.1" 304 - "http://www.xxxxx.com.ar/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; InfoPath.2)"
190.137.236.37 - - [23/Sep/2008:12:51:05 -0300] "GET /publicidad/rptviywucel0korld1hlvthulwyxii.jpg HTTP/1.1" 304 - "http://www.xxxxxx.com.ar/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; FunWebProducts; .NET CLR 1.1.4322)"
190.137.236.37 - - [23/Sep/2008:12:51:05 -0300] "GET /imagenes/ic_tiempo.gif HTTP/1.1" 304 - "http://www.xxxxx.com.ar/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; FunWebProducts; .NET CLR 1.1.4322)"
65.55.210.178 - - [23/Sep/2008:12:50:54 -0300] "GET /index.php?di=0 HTTP/1.1" 200 29812 "-" "msnbot/1.1 (+http://search.msn.com/msnbot.htm)"
Bueno, eso es un registro por cada recurso solicitado, con un simple grep de a la IP del muchacho este te saldrá todos los accesos e intentos de acceso que ha hecho.
Tal vez seria buena idea mantener siempre ese log, se que te parecerá una barbaridad loguear cada acceso pero si eres tan paranoico como dices.
Ademas no es tanto, yo mantengo el log de accesos de todo un año, una rotación por semana, y en total los log (los guardo comprimidos) no ocupan mas de 500 megas, es un servidor bastante solicitado, unos 20.000 accesos al dia.
Bueno, tengo que digerir bien lo que me recomiendas Pato, es primera vez que oigo sobre ese tema... (todo lo que me hará falta).
Ya te comentaré. Gracias
segurinformatiloco
Si haces un whois a esa ip probablemente sepas si es un bot.
Si haces un whois a esa ip probablemente sepas si es un bot.
Me sale lo siguiente:
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 62.0.0.0 - 62.255.255.255
CIDR: 62.0.0.0/8
NetName: RIPE-C3
NetHandle: NET-62-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: NS-EXT.ISC.ORG
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 1997-04-25
Updated: 2005-08-03
# ARIN WHOIS database, last updated 2008-09-22 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Other WHOIS Servers: AfriNIC APNIC
No alcanzo a interpretar si es un bot o no...
segurinformatiloco
Pues esto es lo que pone su web:
"The RIPE NCC is one of five Regional Internet Registries (RIRs) providing Internet resource allocations, registration services and co-ordination activities that support the operation of the Internet globally."
Podría ser un robot, pero no de un buscador.
Estuve leyendo sobre el RIPE NCC y otras cosas al respecto, según parece, lo más probable es que sea algún estudiante haciendo escaneo de IP
¿Creen ustedes que sería conveniente escribirle un correo a la Universidad Nacional De Educación A Distancia y comentarles mis paranoias? ¿O le pongo solucionado al hilo y dejo de joder?