自从几个星期以来,我在我的日志文件中发现了很多来自apache的错误,这些错误似乎与银行欺诈计划有关。
相关的日志条目是这样的(ip 1.2.3.4是我编写的,我没有修改每行的其余部分)
www.bradesco.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" www.bb.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" www.santander.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" www.banese.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" 我使用的logformat是:
LogFormat "%V:%p %U %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\""
奇怪的是,所有这些领域都是银行的领域,四个领域中的三个也在银行欺诈计划名单上: http ://www.abuse.ch/?p = 2925
我真的想知道我的服务器是否被滥用,银行欺诈或不。 我怀疑不是,因为它给了所有请求403。 但是任何额外的检查,我可以做,以确保我的服务器不被滥用,是受欢迎的。
我也很好奇“坏人”如何期待我的服务器的行为。 也就是说,他们只是希望我的服务器充当代理来隐藏假冒网站的IP地址,还是希望我的服务器能够真正服务于假银行网站?
是IP 1.2.3.4更可能是一个受害者的IP地址或一个坏人的IP地址。 我怀疑是一个坏人,因为真正的人不太可能一秒钟访问4个银行网站。 如果是坏人,我很好奇他在做什么。
不,你的服务器正在做它应该做的。 根据日志条目,它将向这些请求返回403(禁止)错误代码。 这些types的请求是相当普遍的 – 无论是扫描开放代理的僵尸networking,还是您的IP在分配给您之前都是开放代理的情况。
如果你愿意的话,你可以尝试和阻止这些,但这可能是不值得的。