Hallo Armin,

ich kenn die Dinger auch, habe auch keine Erklärung dafür, kann aber ein bisschen was zum Verhalten beisteuern:

1. Bei jedem Request wechselnde UA-Strings beobachte ich auch.
2. Zudem aber auch wechselnde IPs, die - sofern identifizierbar - von Einwahlprovidern stammen, z.B. T-Online oder Bell South.
3. Die Einwahlprovider sind weltweit verteilt.
4. Ich kann nur Aufrufe gültiger und existierender URIs feststellen, allerdings solche versteckten, dass sie in keiner Suchmaschine/in keinem Verzeichnis gelistet sind. Das Muster sieht so aus, als würde die Site - in gaaaanz kleinen Häppchen - gecrawlt.

Also: Crawling von versch. Einwahlprovidern aus, da vermute ich, dass es irgendwo dahinter eine Datenbank gibt, die die Aufrufe koordiniert. Was genau das sein könnte, bleibt der Fantasie überlassen: Ein Wurm/Trojaner, der fürs Mailadressen-Harvesting benutzt wird? Adware, die "nebenbei" Adressen-Harvesting macht? Ein verteiltes Projekt ähnlich Seti@home? (Wobei: wozu dann der kryptische UA-String?)

Grüße,

Utz