Nicht gültige Domain in den Acesslogs - Wie wird das verursacht?

[etron770]

Wie kann ich denn dieses Problem in Griff bekommen
irgendjemand flutet mir die Logfiles ohne dass ich die IP herausfinden kann.
Die Anfragen hinter dem Get sind identisch vorne die Adresse (..163-172-65-186.rev.poneytelecom.eu ) wechselt

Wie funktioniert die Kommunikation zu dem Aufrufer der Seite? Irgendwie müssen die Antworten ja auch an Ihn zurückkommen oder will er nur den Server belasten?

server log:

163-172-65-186.rev.poneytelecom.eu - - [19/Dec/2016:13:21:22 +0100] "GET /search.php?sqlQuery=SELECT.....

2016-12-19 13:14:06,154 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-93.rev.poneytelecom.eu
2016-12-19 13:14:07,235 fail2ban.filter : WARNING Unable to find a corresponding IP address for hosted-by.leaseweb.com
2016-12-19 13:14:07,287 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-71.rev.poneytelecom.eu
2016-12-19 13:14:07,837 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-179.rev.poneytelecom.eu
2016-12-19 13:14:08,384 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-125.rev.poneytelecom.eu
2016-12-19 13:14:08,665 fail2ban.filter : WARNING Unable to find a corresponding IP address for 122-44-15-51.rev.cloud.scaleway.com
2016-12-19 13:14:09,024 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-28.rev.poneytelecom.eu
2016-12-19 13:14:09,173 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-59.rev.poneytelecom.eu
2016-12-19 13:14:09,873 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-143.rev.poneytelecom.eu
2016-12-19 13:14:10,394 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-22.rev.poneytelecom.eu
2016-12-19 13:14:11,174 fail2ban.filter : WARNING Unable to find a corresponding IP address for baiduspider-180-76-15-162.crawl.baidu.com
2016-12-19 13:14:11,217 fail2ban.filter : WARNING Unable to find a corresponding IP address for baiduspider-180-76-15-138.crawl.baidu.com
2016-12-19 13:14:12,133 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-65-196.rev.poneytelecom.eu
2016-12-19 13:14:12,206 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-66-25.rev.poneytelecom.eu
2016-12-19 13:14:13,433 fail2ban.filter : WARNING Unable to find a corresponding IP address for 163-172-64-236.rev.poneytelecom.eu

 

[etron770]

sehe ich das richtig, dass diese Spammer/Hacker oder dergleichen falsche URLs übergeben bzw. über einen Proxy gehen? Manchmal haben sie eine ungültige dabei.
die ..... sind längere (mit query strings) Aufrufe von Webseiten auf dem Server.
habe nur ich das auf dem Server? Aufgefallen ist es weil ich die Bots mit fail2ban ausperren wollte und die IP manchmal ungültig sind.
Vorher dachte ich das sind wirklich die Bots mit dem Namen am Ende des Strings.

static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:01:34 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:01:47 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:02:00 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
163-172-65-233.rev.poneytelecom.eu - - [21/Dec/2016:15:02:01 +0100] "GET .....  HTTP/1.1" 200 8488 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.1; +http://ahrefs.com/robot/)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:02:14 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
163-172-64-184.rev.poneytelecom.eu - - [21/Dec/2016:15:02:20 +0100] "GET .....  HTTP/1.1" 200 8488 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.1; +http://ahrefs.com/robot/)"
163-172-65-20.rev.poneytelecom.eu - - [21/Dec/2016:15:02:25 +0100]"GET .....  HTTP/1.1" 200 8488 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.1; +http://ahrefs.com/robot/)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:02:26 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
163-172-66-7.rev.poneytelecom.eu - - [21/Dec/2016:15:02:30 +0100] "GET .....  HTTP/1.1" 200 8488 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.1; +http://ahrefs.com/robot/)"

195-154-191-64.rev.poneytelecom.eu - - [21/Dec/2016:15:02:39 +0100] "GET /update.php HTTP/1.0" 301 618 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
195-154-191-64.rev.poneytelecom.eu - - [21/Dec/2016:15:02:39 +0100] "GET / HTTP/1.0" 301 611 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
195-154-191-64.rev.poneytelecom.eu - - [21/Dec/2016:15:02:39 +0100] "GET / HTTP/1.0" 200 27075 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"

static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:02:39 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
163-172-66-14.rev.poneytelecom.eu - - [21/Dec/2016:15:02:41 +0100] "GET .....  HTTP/1.1" 200 8488 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.1; +http://ahrefs.com/robot/)"
163-172-66-50.rev.poneytelecom.eu - - [21/Dec/2016:15:02:43 +0100] "GET .....  HTTP/1.1" 200 8488 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.1; +http://ahrefs.com/robot/)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:02:52 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:03:06 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:03:19 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"
static.176.148.243.136.clients.your-server.de - - [21/Dec/2016:15:03:32 +0100] "GET ..... "Mozilla/5.0 (compatible; SEOkicks-Robot; +http://www.seokicks.de/robot.html)"

 

[etron770]

Ich vermute dass das IP Spoofing ist. Die fehlerhaften Ips der Server, die sie angeben sind dann teilweise schon wieder deaktiviert.
Dadurch kann man die IP des Bots/Hackers nicht mehr so einfach herausfinden. Allerdings müssten dann die gültigen IPs wohl gehackte und übernommene Server sein ....
Also von : Bot/Hackerserver -> webserver (mit gefälschter IP) -> Ippaket zurück über den gehackten Server.
Aber müsste dann nicht der gehackte Server sagen dass er das Paket nicht angefordert hat?