Website-Security mit BotScope
Bösartige Bots tarnen sich. Sie spoofen Googlebot-UAs, scannen /wp-admin, /.env, /phpmyadmin/ oder fluten dein Login mit Credentials. BotScope erkennt sie an ihrem Verhalten — nicht am UA-String, der ohnehin gelogen ist.
🛡️ Drei-Stufen-Scanner-Erkennung
1
Pfad-Heuristik
Anfragen auf .env, .cgi, wp-config.php, phpmyadmin, actuator, git/config → markiert als Probe-Pfade.
Anfragen auf .env, .cgi, wp-config.php, phpmyadmin, actuator, git/config → markiert als Probe-Pfade.
2
Status-Filter
4xx auf Probe-Pfaden + POST-Requests mit 4xx → bestätigter Scanner.
4xx auf Probe-Pfaden + POST-Requests mit 4xx → bestätigter Scanner.
3
IP-Reputation
Eine IP, die EINEN Scanner-Treffer hatte, wird für ALLE ihre weiteren Requests als Scanner markiert. Auch wenn sie zwischendurch / oder /robots.txt normal abruft.
Eine IP, die EINEN Scanner-Treffer hatte, wird für ALLE ihre weiteren Requests als Scanner markiert. Auch wenn sie zwischendurch / oder /robots.txt normal abruft.
🌐 Cross-Customer Reputation
BotScope führt eine globale Scanner-IP-Liste. Eine IP, die Kunde A scannt, wird automatisch auch bei Kunde B als bekannt-bösartig erkannt — Scanner kommen meistens aus denselben Botnetzen.
📊 Praxis-Use-Case
Szenario: Ein Magento-Shop wird täglich von 12.000 Scan-Versuchen auf /.git/config getroffen.
BotScope-Befund:
247
distinct IPs
18
Länder
96%
fake Googlebot-UA
3
Hosting-Cluster
Action: Diese 247 IPs in iptables blocken → Server-Last −8%, kein Scan-Traffic mehr.
🚨 Was du mit BotScope dauerhaft erkennst
- 🔓 Brute-Force-Login
Hohe Rate von 401 auf /wp-login.php oder /admin/ - 🎭 Credential-Stuffing
POST-Bursts mit application/x-www-form-urlencoded + variable IPs - 💉 SQL-Injection
Pfad enthält UNION, SELECT, 1=1 - 📁 Path-Traversal
../, %2e%2e%2f in URLs - 🤖 Fake-Googlebot
UA = Googlebot, aber IP nicht in offiziellen Google-IP-Ranges → wird als Google Unofficials markiert