Ist eben nur ein Name und nicht notwendig der Bot.
fail2ban vermutet eine DOS-Attacke auf www.example.com und blockt:
root@www:~# fail2ban-client status apache-dos-1 Status for the jail: apache-dos-1 |- Filter | |- Currently failed: 53 | |- Total failed: 1894165 | `- File list: /var/log/apache2/www.example.com-access.log |- Currently banned: 1 |- Total banned: 4 `- Banned IP list: 45.137.22.238
Beginn:
45.137.22.238 - - [02/Nov/2023:20:14:00 +0100] "GET / HTTP/1.1" 302 5289 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"
Ende:
45.137.22.238 - - [02/Nov/2023:20:15:49 +0100] "GET /pfad/zu/ressource HTTP/1.1" 200 22386 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"
Dazwischen 1235 Requests — nicht schlecht, Herr Specht! Ist Google völlig durchgeknallt? Aber Moment:
❯ host 45.137.22.238 238.22.137.45.in-addr.arpa domain name pointer hosted-by.rootlayer.net.
Das ist doch gar nicht Google?
Nein, ist es nicht:
❯ whois 45.137.22.238 […] inetnum: 45.137.20.0 - 45.137.23.255 netname: BD-ROOTLAYER-20190805 […] organisation: ORG-RWSL1-RIPE org-name: RootLayer Web Services Ltd. country: BD org-type: LIR address: 134/7 B, Furfura Sharif Road, Darus Salam, Mirpur, Dhaka address: 1216 address: Dhaka address: BANGLADESH
Wenn das Google ist, dann bin ich Jesus.
Trau schau wem!
Yup, das probieren mittlerweile viele. Was nicht aus 66.249.64.0/19 kommt, ist mit hoher Wahrscheinlichkeit kein Google-Bot. Es heißt zwar, daß Google auch noch außerhalb dieses Bereichs Bots laufen hätte, um zu testen, ob die offiziellen Bots dasselbe geliefert bekommen wie alle anderen, aber wenn Google mir das nicht glauben will, laufen sie halt fail2ban in die Falle. ¯\_(ツ)_/¯