Apache-2.2
我的網路伺服器是否因銀行欺詐而被濫用?
幾週以來,我的日誌文件中出現了很多來自 apache 的 403 錯誤,這些錯誤似乎與銀行欺詐計劃有關。
相關的日誌條目是這樣的(ip 1.2.3.4 是我自己編的,每一行的其餘部分我沒有修改)
www.bradesco.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" www.bb.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" www.santander.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" www.banese.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
我使用的日誌格式是:
LogFormat "%V:%p %U %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\""
奇怪的是,所有這些域都是銀行的域,並且 4 個域中的 3 個也在以下描述的銀行欺詐計劃列表中:http ://www.abuse.ch/?p=2925
- 我真的很想知道我的伺服器是否被濫用於銀行欺詐。我懷疑不是,因為它對所有請求都給出了 403。但是歡迎我做任何額外的檢查來確保我的伺服器沒有被濫用。
- 我也很好奇“壞人”希望我的伺服器表現如何。即他們只是希望我的伺服器充當代理來隱藏假網站的 IP,還是他們希望我的伺服器實際上會為假銀行網站提供服務?
- ip 1.2.3.4 更可能是受害者的 ip 還是壞人的 ip。我懷疑是壞人,因為真人不太可能在一秒鐘內訪問 4 個銀行網站。如果它來自一個壞人,我很好奇他想做什麼。
不,您的伺服器正在做它應該做的事情。根據日誌條目,它會向這些請求返回403(禁止)錯誤程式碼。這些類型的請求很常見——要麼是殭屍網路掃描開放代理,要麼可能是您的 IP 在分配給您之前曾經是一個開放代理。
如果您願意,您可以嘗試阻止這些,但這可能不值得這樣做。