Genau. Hier mal eine Auswahl der bisherigen Zahlen der Client Domains vom Januar:

• googlebot.com: 205k
• your-server.de: 150k
• msn.com: 3400
• semrush.com: 1400
• hwclouds-dns.com: 200
• vodafone-ip.de: 180

Wie man sieht, benimmt sich der bingbot (msn.com) nicht so gierig (obwohl er jetzt auch damit beginnt, den Kalender mitsamt Parametern abzufragen - aber nicht so häufig).

1. „hwclouds-dns.com“: Du machst offenbar eine reverse-DNS-Auflösung. Die ist, wenn man so loggt, sehr „teuer“.

2. Hm. Ich schau mir gerne die Requests dazu an.

„hwclouds“ und „your-server“ sind auf jeden Fall Hoster, die Teils Webspace, teils (virtuelle) Server vermieten.

Wenn von dort merkwürdige und seltsam aussehende Request kommen, die auf einen Angriffsversuch oder Tools wie nessus hindeuten, dann ist da entweder direkt ein Bösewicht am Werk (Manche mieten ja sogar Server mit geklauten Kreditkartendaten), oder etwas wie eine WordPress-Installation (meinetwegen auch ein Framework) wurde geknackt oder es ist ein Tor-Exit.

Alles Sperr-Gründe. Auf dem Webserver werfe ich die IPs oder IP-Bereiche in die htaccess ein, zu Hause in die Firewall.

Bei "eher vertrauenswürdigen" Besitzern der Server bzw. Inhabern der IPs (z.B. "your-server.de" zähle ich da mal mit) geht, sofern der Angriffsversuch eine gewisse Heftigkeit überschreitet, eine Nachricht mit Auszug aus den Logs an den Abuse. Regelmäßig ist dann die betreffende IP nur wenig später nicht mehr erreichbar. Das mache ich aber vielleicht einmal im Monat, eher seltener.