Angriff des Zombie Bots?

Eine kurze Recherche hat ergeben: Die Domain Seekport ist von Sistrix gekauft worden. Scheinbar betreibt Sistrix unter dem Namen Seekport eine neue Suchmaschine oder nutzt den „bekannten“ Bot für eigene Spider.

Im konkreten Fall hat der Bot  – weil er sich nicht an die Auszeichnung gehalten hat – bei uns so viele Downloads von Binärdateien verursacht, dass wir handeln mussten: Wir haben den Bot ausgesperrt. Neben einem Eintrag in der robots.txt, haben wir den Bot auch auf Serverlevel, direkt im Varnish, ausgesperrt.

Das ging ganz einfach durch folgenden Eintrag in der Varnish-Config:

sub vcl_recv {

......

  # block for secific user agent
  # e.g. seekport, which does not follow 
  # the rel="noindex" tag

  if (req.http.User-Agent ~ "Seekport") {
      return(synth(403,"Forbidden."));
  }

.....
}

Diesen Eintrag haben wir anschließend in unserer Puppet-Konfiguration eingetragen, einen Tag erstellt und schon konnte die Anpassung für den betroffenen Dienst ausgerollt werden. Verifizieren, dass der Bot nun tatsächlich ausgesperrt ist, kann man das per cURL:

curl -I --user-agent "Mozilla/5.0 (compatible; Seekport Crawler; seekport.com/)" \
www.domain.name

Das Ergebnis ist dann:

HTTP/1.1 403 Forbidden.

date: Wed, 14 Jul 2021 06:58:02 GMT

server: Varnish

x-varnish: 1421139

content-type: text/html; charset=utf-8

content-length: 782

Im Moment prüfen wir noch, ob wir den Bot in all unseren Diensten aussperren sollen. Sofern wir weitere Informationen über den Bot finden und er sich an die Auszeichnung im HTML hält, werden wir erneut prüfen.

Vielleicht können die Kollegen von Sistrix als Kommentar ein paar weitere Informationen geben?