我的網路伺服器是否因銀行欺詐而被濫用？

幾週以來，我的日誌文件中出現了很多來自 apache 的 403 錯誤，這些錯誤似乎與銀行欺詐計劃有關。

相關的日誌條目是這樣的（ip 1.2.3.4 是我自己編的，每一行的其餘部分我沒有修改）

www.bradesco.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.bb.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.santander.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.banese.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"

我使用的日誌格式是：

LogFormat "%V:%p %U %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\""

奇怪的是，所有這些域都是銀行的域，並且 4 個域中的 3 個也在以下描述的銀行欺詐計劃列表中：http ://www.abuse.ch/?p=2925

1. 我真的很想知道我的伺服器是否被濫用於銀行欺詐。我懷疑不是，因為它對所有請求都給出了 403。但是歡迎我做任何額外的檢查來確保我的伺服器沒有被濫用。
2. 我也很好奇“壞人”希望我的伺服器表現如何。即他們只是希望我的伺服器充當代理來隱藏假網站的 IP，還是他們希望我的伺服器實際上會為假銀行網站提供服務？
3. ip 1.2.3.4 更可能是受害者的 ip 還是壞人的 ip。我懷疑是壞人，因為真人不太可能在一秒鐘內訪問 4 個銀行網站。如果它來自一個壞人，我很好奇他想做什麼。

不，您的伺服器正在做它應該做的事情。根據日誌條目，它會向這些請求返回403（禁止）錯誤程式碼。這些類型的請求很常見——要麼是殭屍網路掃描開放代理，要麼可能是您的 IP 在分配給您之前曾經是一個開放代理。

如果您願意，您可以嘗試阻止這些，但這可能不值得這樣做。

引用自：https://serverfault.com/questions/454315