Вы злоупотребляете сервером Google?

Я получил много POST-запросов с сервера Google на мой сайт. Он просит время от времени, никогда не останавливается.

35.196.208.182 - - [18/Nov/2019:04:39:21 -0700] "POST /?wc-ajax=get_variation HTTP/1.1" 200 689 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"


cat /var/log/nginx/*access.log|grep "35.196.208.182"|awk '{print $1}'|wc -l

4110

Другой IP до того, как я его заблокировал

cat /var/log/nginx/*access.log|grep "34.73.127.196"|awk '{print $1}'|wc -l

11454

Это от кого-то, кто использует хостинг Google Cloud Platform, а не от любого бота Google.

У ботов Google есть Google в пользовательском агенте, и не похожи на браузеры.
Боты Google разрешаются в DNS как googlebot.com или google.com. Это с сайта googleusercontent.com.

открыто Отчеты о злоупотреблениях GCP с соответствующей формой.

См. Также в Super User: Что вы будете делать, если вас взломают что-то, пришедшее с якобы законного IP-адреса, например, от Google?

Ответить на ваш вопрос сложно, поскольку вы предоставили очень мало информации. Я объясню шаги, которые я выполняю при проверке трафика и принятии решения, следует ли блокировать источник. Это классический тип анализа «Что, кто и когда».

ШАГ 1: ЧТО

Вы понимаете, о чем идет речь? Как часто к вашему серверу поступают запросы? Этот запрос вызывает проблемы с вашим сервером или сервисом, или он вас просто раздражает?

wc-ajax=get_variation это запрос на вариации продукта для WooCommerce. Это может быть или не быть хорошим запросом. Это может быть просто бот, который индексирует товары для вашего сайта. Вам придется решить.

ШАГ 2: КТО

Вы расследовали, кто является источником? Обратный поиск в DNS иногда предоставляет значимую информацию. Кроме того, выполните завиток для этого IP-адреса. Если там нет сайта, вероятно, бот или злой человек.

IP-адрес, принадлежащий Google, не означает, что Google атакует вас. Google предоставляет услуги другим компаниям / людям. Ваш сервер является общедоступным, ожидайте всех видов XXX из всех источников.

Этот IP-адрес 35.196.208.182 решает googleusercontent.com. Это означает услугу, предоставляемую Google. Это может быть Google Cloud, но не сам Google.

ШАГ 3: КОГДА

В какое время дня приходят эти запросы? Как часто: раз в минуту, раз в час и т. Д.? Боты с хорошим поведением не будут перегружать ваши сайты запросами. В вашем вопросе вы показываете 11 454 запроса. Это кажется высоким (как в случае с плохим ботом), но вы не показываете период времени для этих запросов.

Рекомендации

Ваш сервер общедоступен. Вы вытащите волосы, блокируя IP-адреса. Хакеры и плохие боты часто меняют свои IP-адреса или места расположения служб. Это означает, что IP-адрес, который вы заблокируете сегодня, может быть для реального клиента завтра или в следующем месяце.

Установите интеллектуальный WAF (брандмауэр), который автоматически обнаруживает и блокирует такой трафик. Установите минимальную длительность блока: 24 часа после получения ХХ запросов через 5 минут или 8 часов, или как вы решите.