Goedemiddag,
Ik was benieuwd of iemand het volgende ook ervaart.
Afgelopen dagen is er sprake geweest van een hoop geinfecteerde omgevingen met Ransomware welke in Ukraine begonnen is.
Echter vandaag krijgen we van een klant van ons de melding dat er enorm veel bezoekers uit Ukraine op hun site zitten (google analytics).
Ik kan zelf niet herleiden wat het doel ervan is en waarom ze erop zitten. Het lijkt me niet een manier van hacken, gezien ze verder niet navigeren.
Verder draaien de servers op een linux omgeving: 1 varnish en daarachter via een intern netwerk meerdere backend servers.
Bij de Varnish staat enkel de port 80 & 443 open. De rest is volledig afgesloten via een firewall. Ook in de logs kunnen we verder niks terugvinden.
Dus iemand enig idee waarom en wat het doel is van de bezoekers? Op de bijgevoegde afbeelding komen ze uit meerdere plaatsen. Gister kwamen ze enkel uit "Dnipro"
https://s3.postimg.org/m4q4b4937/Sch...m_15.54.22.png
Alvast bedankt,
Sebastiaan