几个星期以来,我的日志文件中出现很多来自 apache 的 403 错误,这些错误似乎与银行欺诈计划有关。
相关日志条目如下所示(ip 1.2.3.4 是我编造的,其余每一行我都没有修改)
www.bradesco.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.bb.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.santander.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.banese.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
我使用的日志格式是:
LogFormat "%V:%p %U %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\""
奇怪的是,这些域名全部都是银行的域名,而且 4 个域名中有 3 个也在所述的银行诈骗计划名单中:http://www.abuse.ch/?p=2925
我真的很想知道我的服务器是否被滥用于银行欺诈。我怀疑没有,因为它对所有请求都给出 403。但我欢迎进行任何额外的检查以确保我的服务器没有被滥用。
我也好奇“坏人”希望我的服务器如何运作。也就是说,他们只是希望我的服务器充当代理来隐藏假网站的 IP,还是希望我的服务器真正为假银行网站提供服务?
1.2.3.4 这个 IP 更有可能是受害者的 IP 还是坏人的 IP。我怀疑是坏人,因为一个真正的人不可能在一秒钟内访问 4 个银行网站。如果它来自坏人,我很好奇他想做什么。
答案1
不,你的服务器正在做它应该做的事情。根据日志条目,它返回了一个403(禁止)这些请求中可能包含错误代码。这些类型的请求非常常见 - 要么是僵尸网络扫描开放代理,要么可能是您的 IP 在分配给您之前曾经是开放代理。
你可以如果您愿意,请尝试阻止这些,但这可能不值得这样做。