Der Name der Rose, äh, des Bots

IT
1 Comment

Ist eben nur ein Name und nicht not­wen­dig der Bot.
fail2ban ver­mu­tet eine DOS-Atta­cke auf www.example.com und blockt:

root@www:~# fail2ban-client status apache-dos-1
Status for the jail: apache-dos-1
|- Filter
| |- Currently failed: 53
| |- Total failed: 1894165
| `- File list: /var/log/apache2/www.example.com-access.log
|- Currently banned: 1
|- Total banned: 4
`- Banned IP list: 45.137.22.238

Beginn:

45.137.22.238 - - [02/Nov/2023:20:14:00 +0100] "GET / HTTP/1.1" 302 5289 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"

Ende:

45.137.22.238 - - [02/Nov/2023:20:15:49 +0100] "GET /pfad/zu/ressource HTTP/1.1" 200 22386 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"

Dazwi­schen 1235 Requests — nicht schlecht, Herr Specht! Ist Goog­le völ­lig durch­ge­knallt? Aber Moment:

❯ host 45.137.22.238
238.22.137.45.in-addr.arpa domain name pointer hosted-by.rootlayer.net.

Das ist doch gar nicht Google?
Nein, ist es nicht:

❯ whois 45.137.22.238
[…]
inetnum: 45.137.20.0 - 45.137.23.255
netname: BD-ROOTLAYER-20190805
[…]
organisation: ORG-RWSL1-RIPE
org-name: RootLayer Web Services Ltd.
country: BD
org-type: LIR
address: 134/7 B, Furfura Sharif Road, Darus Salam, Mirpur, Dhaka
address: 1216
address: Dhaka
address: BANGLADESH

Wenn das Goog­le ist, dann bin ich Jesus.

Trau schau wem!

1 Comment

Add a Comment
  1. Aurin Azadî

    Yup, das pro­bie­ren mitt­ler­wei­le vie­le. Was nicht aus 66.249.64.0/19 kommt, ist mit hoher Wahr­schein­lich­keit kein Goog­le-Bot. Es heißt zwar, daß Goog­le auch noch außer­halb die­ses Bereichs Bots lau­fen hät­te, um zu tes­ten, ob die offi­zi­el­len Bots das­sel­be gelie­fert bekom­men wie alle ande­ren, aber wenn Goog­le mir das nicht glau­ben will, lau­fen sie halt fail2ban in die Fal­le. ¯\_(ツ)_/¯

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert