Dit is gewoon een plek waar je goedkoop virtuele servers kunt neerzetten en van daaruit dingen doen waarmee je
anderen irriteert en die je zelf hoogdravend kunt brengen als "ik doe research". Zoals allerlei pagina's proberen op
te halen, allerlei poorten scannen, etc etc.
Kennelijk heeft er iemand in de gaten dat sommigen wellicht hun webcontent in een git repository zetten en die zo
nu en dan syncen. En proberen ze die metadata dan op te halen.
Uiteraard zou je, als je dat inderdaad doet, in je webserver config of .htaccess file het ophalen van .git moeten verbieden.

Die .amazonaws.com zijn dus niet "amazon" maar het zijn KLANTEN van amazon.

Natuurlijk is er een eenvoudig antwoord. Iemand heeft amazon instances ingehuurd en gebruikt dat om een scan op mischien wel het hele publieke internet uit te voeren. Dat kan gewoon, en ja je kan kiezen in welk datacentrum je je instances wil hebben en "in alle beschikbare datacentra" kan ook, ja. Waarom? Wat de bedoelingen daarachter zijn? Zo niet te zeggen. Mischien zien we over een week of wat een persbericht van een of andere security outfit met een paniekverhaal over publieke gitrepos. Maar mischien ook niet.

Het heeft nul zin om met vingertjes naar "hekkers" te gaan wijzen en aannemen dat amazon "gecorrumpeerd" is omdat iemand hun diensten afneemt is ook nogal kort door de bocht. Je kan je beter afvragen waarom je je druk maakt. Je zit in feite naar de achtergrondruis van het internet te kijken. Daar heb je eigenlijk alleen wat aan als je dat grootschalig doet en zo trends kan ontwaren, maar dan is een enkel meetpunt nogal karig. Dus ik snap eigenlijk niet dat je jezelf hiervoor emailt.

Je zou iets als fail2ban kunnen inzetten, en IPadressen een uurtje blokkeren als ze teveel foutmeldingen in korte tijd genereren. Maar dat doe je dan weer niet uit veiligheidsoverwegingen, maar vooral om je logfiles niet teveel te vullen. Omdat je zeker niet de enige bent die zulke truuks uithaalt zal de scan-opzetter zoveel verschillende IPadressen uit verschillende regios ingezet hebben.

Gecorrumpeerd denk ik niet. Je kunt van alles hosten op AWS servers.

Ik denk iemand een service op AWS heeft draaien, waarvan code in git staat.
Alleen bij het configureren van waar hun git-server staat hebben ze een foutje gemaakt, en staat daar jouw domain/server/ip .

AWS (en andere cloud services) zijn bedoeld om heel makkelijk een server te kunnen bijschakelen, en weer afschakelen.
Vandaar dat je de pogingen van een reeks van AWS adressen krijgt .

Heel misschien dat je meer ziet over de bron als je alle informatie van de client in je webserver logs bekijkt.
Misschien dat er in de browser string iets staat waaruit je kunt afleiden hoe de service heet die de git fetch probeert te doen.
Ik zou ook kijken naar welke naam van je webserver benaderd wordt (heb je een wildcard in je domein, en je webserver ? )


Met de heel natte vinger gok ik dat elke hit die je ziet is wanneer die dienst weer een aws server opstart, en iets van hun platform probeert om 'de meest recente config van onze git server te halen' - alleen de (eerste ?) geconfigureerde 'onze git server' is jouw server in plaats van de goede.

Amazon AWS verhuurt virtuele servers onder onder de naam EC2. Dit kun je ook zien in de URL en het laatste wat ik daar zo uit kan halen is dat de servers in de regio SA East zijn gehuurd.

Iemand zal dus die server hebben gehuurd en een programma draaien dat op allerlei sites checkt of er een leesbare .git map op staat

In de .git/HEAD staat een index van alle bestanden in de git repository en kan wellicht interessante bestanden onthullen.

Het kan zijn dat dit door een beveiligingsonderzoeker wordt gedaan, maar het kan net zo goed iemand zijn met minder goede intenties zijn.

https://www.abuseipdb.com/check/18.231.143.17

Deze server wordt inderdaad (mis-)gebruikt voor verdachte activiteiten.

Ik ben een 'hekker'. Met een gestolen creditcard huur ik een (virtuele) server bij Amazon Web Services om mijn illegale handelingen te plegen vanuit een, voor mij, niet herleidbare omgeving.

Heel gebruikelijk..... Helaas.

Wat Ik bedoel is dat het 32 verschillende amazonaws.com ip-adressen zijn.
Wat heeft Amazon hier mee van doen?

> Ik beheer een site waar vandaag 32 pogingen zijn om de pagina /.git/HEAD te openen.

Blijkbaar probeert iemand te kijken of je git hebt gebruikt, en perongeluk je repository online hebt gezet. Aangezien die pagina niet bestaat heb je die fout niet gemaakt en ben je safe hiervoor.


> Waarom alleen maar amazonaws.com?

Amazon AWS is een cloudprovider. Die scan komt van een klant die daar 32+ servers afneemt.

Nee het is een cloud dienst en de eigen geeft geen shit wat zijn klanten allemaal daar uitspoken, en ze doen dit al jaren. En er zijn genoeg anderen die dit ook doen. Dus blijven blokkeren met ipset en iets als dit:

[@files]# cat /usr/local/sbin/auto-block-web.sh
#!/bin/bash


SEARCHSTR="$1"

while true
do
for ip in `connections.sh | awk '{print $2}' | sort -u`
do
filteredip=$(echo "$ip $(dig +short +time=1 -x $ip|head -1)" | grep "$SEARCHSTR" | cut -d" " -f1)
if [ "$filteredip" != "" ]
then
echo "adding $filteredip to blacklistweb"
ipset add blacklistweb $filteredip
fi
done

sleep 20
done

https://wiki.archlinux.org/index.php/Ipset
Of als je de moeite wilt besparen
http://www.roosit.nl/files/blacklistweb.ipset

Was het maar waar dan moesten ze voor 32 servers betalen. Dit volgens mij iets van een job op apache spark dienst, wat een nog geen paar euro kost.

Wat geeft je het idee dat er altijd dezelfde server/klant/instance achter een AWS ip adres zit ?

Ga lezen op internet over 'Amazon EC2' en Amazon AWS diensten.

Dat is wel het geval. Of meerdere AWS IP adressen waar dezelfde soort scans vandaan komen dezelfde klant betreffen
dat is iets anders. Dat kan ook, maar dat hoeft uiteraard niet. Vaak zie je dat hele hordes scriptkiddies dezelfde
kinderachtige scans uitvoeren, bijv "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

Als deze reportsite bekijkt, dan is de ontvangende kant (die wordt aangevallen) die rapporteert.
Heel handig...

Bedankt iedereen. Verhelderend.
Ik vond het niet verontrustend voor mijn site maar ik zat wel met een paar vragen. Vandaar.