Ungewöhnliche Zugriffe durch Server von Amazon AWS

  • Moin zusammen,


    auf meiner Domain ist noch nicht viel los (gut so), aber ich habe seit einigen Tagen ungewöhnlich viele Zugriffe aus den IP-Bereichen 3.16.xx.xx sowie aus dem 18er Netz (18.xx.xx.xx), die allesamt zu Amazon AWS gehören (Resolution geht auf compute.amazonaws.com)


    Sind nicht schädlich, aber dennoch auffallend viele.

    Hat das noch jemand beobachtet und eine Erklärung, was die da treiben?


    Gleiches gilt übrigens auch für einen Anschluss von researchscan26.comsys.rwth-aachen.de, aber da sind die Zugriffe nicht so häufig.

    Für den liefern sie aber gleich eine Erklärung: http://researchscan19.comsys.rwth-aachen.de/

  • Keine Ahnung, ich habe ja nur Webhosting (aus gutem Grund :)

    Meine Logs sind aber voll von deren Einträgen auf das Root-Verzeichnis meiner Domain.

    Hier mal zwei Beispiele:

    ec2-18-221-190-171.us-east-2.compute.amazonaws.com

    ec2-3-17-39-199.us-east-2.compute.amazonaws.com


    Tauchen regelmäßig ca. alle 30 Minuten auf.

  • Zumindest einige davon sind definitiv keine Suchmaschinen-Bots, da sie (18.*.*.*) bei mir auf Port 22 anklopfen... :S (oder es sind sehr neugierige Bots! :/)


    Juckt mich jetzt aber nicht groß, da mein SSH-Port nicht auf 22 liegt und der Rest eh fleißig geblockt wird mit ufw + sehr strengen fail2ban Regeln 8)

  • Könnten auch Bots von Suchmaschinen sein...


    MfG

    Alle 30 Minuten?

    Ich habe Wordfence auf meinem Hosting laufen, der erkennt Bots normalerweise. Tut er aber bei den AWS-Zugriffen nicht.


    Hier ein Eintrag von vor 10 Minuten:

    Code
    1. Columbus, United States visited xxxxx (hier steht meine Domain)
    2. 1/4/2019 1:19:31 PM (11 minutes ago)  
    3. IP: 18.188.240.21 Hostname: ec2-18-188-240-21.us-east-2.compute.amazonaws.com
    4. Browser: undefined
    5. Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) AppleWebKit/537.36 (KHTML, like Gecko) Safari/602.1


    Es sind aber sicher automatische Zugriffe, sonst würde bei "Browser" was drin stehen.

  • Ja, das sind Crawler von SearchEngines etc... und Bots. Aber das müssen nicht zwangsweise Bots sein, die böses im Schilde führen.

    Es gibt diverse Projekte auch von WhiteHats, Researchern etc... die alle Domains, alle Hostnamen aus ausgestellten Zertifikaten (über das Transparency-Programm wird das live publiziert!) bzw. den kompletten IPv4 Space abgrasen und Daten erheben, z.B.:

    • Statistische Daten zur eingesetzten Serversoftware(version)
    • SSL/TLS/StartTLS-Handshake, Verwendete Cipher-Suiten und Versionen etc...
    • Verwendete Zertifikate
    • u.v.m....

    Daraus lassen sich auch in der Welt der WhiteHats interessante Trends/Statistiken erstellen.

    Man muss sich einfach damit abfinden, dass man schon wenige Sekunden nachdem man mit einer VM oder einem WebAuftritt online geht zahlreiche Requests auf allen möglichen Ports (SMTP, SSH, HTTP, HTTPS, ...) erhält (mit guter, aber auch in böser Absicht).