我在我們的網頁記錄中看到透過http的透過電子郵件地址。典型的URL是圖案:通過http透過電子郵件地址透過
我已經在s上看到了這些URL模式還有其他一些知識產權。所有IP的反向查找表示,它們屬於amazon ec2。
我最初懷疑這與亞馬遜的SES服務有關,但找不到任何具體的文檔來關聯這些URL。有人知道這是什麼嗎?
這些URL與電子郵件跟蹤有關。不同的電子郵件營銷產品/廣告系列有各種模板來創建跟蹤網址。他們中的大多數都在AWS EC2雲平臺上託管他們的服務。
我已經看到從上面的IP頂部URL模式具有相似的Marketo網絡掛接,它可以讓你有實時性能測量。他們的一個網址跟蹤模板與我們頂級的觀察到的網址模式一致。有通過responsys.com,sharecomm.org提供的其他電子郵件營銷活動管理系統等
由石蕊提供的另一個電子郵件跟蹤服務使用相同的IP範圍,我發現emltrk.com。
的結論是:該公司提供託管在EC2上的電子郵件營銷服務尚未設置電子郵件活動跟蹤URL安全(HTTPS),因此我們觀察的URL的電子郵件。此電子郵件跟蹤網址並非惡意,只能用於在電子郵件活動中生成性能測量(KPI)。此外,這不是Amazon SES的一部分,因爲1. AWS服務使用不同的DNS命名,2. SES使用安全連接,3.反向DNS具有外包EC2服務的格式。
一些證據來證明這一假設:
用戶數Vs相對獨特的郵件流,顯示了廣大用戶中擁有流動的數量非常有限。觀察具有大量流量的用戶表明他們是代理用戶。因此,這不是由PUA或機器生成的。
URL的UserAgents是MS-Outlook,這證實這是從郵件客戶端生成的。
論壇討論
http://developers.marketo.com/blog/integrating-slack-with-marketo/
https://litmus.com/help/analytics/how-it-works/
Amazon EC2是一個虛擬主機環境。分配給EC2的IP地址(如反向DNS中的*.*compute*.amazonaws.com主機名所示)很可能是而不是提供由亞馬遜網絡服務(AWS)提供的官方產品,但更可能分配給虛擬機(或羣集亞馬遜客戶已出租,部署他們的應用程序。有些AWS官方服務在EC2上運行,並且位於相同的地址空間,但這種流量模式是我無法識別的。
並非所有的AWS服務都需要HTTPS,但是SES會這樣做,因此可以最終排除。此外,這些請求看起來不像線路上的SES請求。
您似乎在處理某種受您的用戶歡迎的應用程序或服務的無良/懶惰/不熟練的開發人員......或惡意軟件......或者使用安裝在EC2服務器上的內部開發人員沒有適當的安全。
無論從哪這些情況可能是,阻斷這些特定的目的地(特定IP地址),似乎是完全適當的短期安全響應,幫助您識別業務的真正本質。
一個長期或子網級塊是不恰當的,因爲任何EC2客戶可以更改自己的IP地址的任何時間,這可以讓你有當一個合法的服務隨後開始使用地址封鎖合法的服務。
我也經歷了這種流量,並在挖了幾天後,我發現這個字符串: /gf7lo8kd?d=<div class=eloquaemail>EmailAddress</div>&r=0
如果你谷歌eloquaemail,你會發現它是從Oracle Eloqua的營銷自動化活動。
我不清楚你在這裏使用「exfiltrate」這個詞。不,這不是SES。但是我的問題是,您是否擁有AWS us-east-1區域中的資源,特別是彈性負載均衡器,以及是否從這些請求中捕獲源IP地址或X-Forwarded-For標頭。 –
@ Michael-sqlbot我用exfiltrate表示電子郵件地址以純文本格式顯示在URL中。在網絡日誌中,上面的示例類型1的點擊次數更多,因此會顯示大量內部電子郵件。我可以捕獲源IP,並且看不到任何不尋常的流量。這在很多用戶和客戶中廣泛傳播。我找不到這些IP的任何惡意使用,但無法理解郵件爲什麼不被編碼以及爲什麼此服務未使用https。所以如果這不是SES,這可能是什麼類型的ec2服務?有什麼建議麼? – Gayan
哦......我假設你的「網絡日誌」=你的網站*服務器*日誌......但你說這些是你的組織內部的瀏覽器/用戶代理髮出的請求。是對的嗎? –