Неужели мой веб-сервер используется для мошенничества в банковской сфере?

Question

Неужели мой веб-сервер используется для мошенничества в банковской сфере?

Через несколько недель я получаю 403 ошибки от apache в моих лог-файлах, которые, похоже, связаны со схемой мошенничества в банке.

Соответствующие записи журнала выглядят так (ip 1.2.3.4 - это тот, который я составил, я не изменял оставшуюся часть каждой строки)

www.bradesco.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.bb.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.santander.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.banese.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"

формат журнала, который я использую:

LogFormat "%V:%p %U %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\""

Странно то, что все эти домены являются доменами банков, и 3 из 4 доменов также находятся в списке схемы мошенничества банков, описанной по адресу: http://www.abuse.ch/?p=2925

Я действительно хотел бы знать, злоупотребляет ли мой сервер мошенничеством банка или нет. Я подозреваю, что нет, потому что он дает 403 на все запросы. Но любые дополнительные проверки, которые я могу сделать, чтобы убедиться, что мой сервер не подвергается злоупотреблениям, приветствуются.
Мне также любопытно, как "плохие парни" ожидали, что мой сервер будет вести себя хорошо. Т.е. они просто ожидают, что мой сервер будет действовать как прокси, чтобы скрыть ip поддельного сайта, или они ожидают, что мой сервер действительно будет обслуживать поддельный банковский сайт?
Может ли ip 1.2.3.4 быть ip жертвы или ip плохого парня? Я подозреваю плохого парня, потому что маловероятно, что реальный человек посетит 4 сайта банка в секунду. Если это от плохого парня, мне очень интересно, что он пытается сделать.

0

apache-2.2 log-files hacking

Источник

M.D. 02 дек '12 в 14:51

1 ответ

Решение

Другие вопросы по тегам apache-2.2 log-files hacking

EEAA 02 дек '12 в 14:58 2012-12-02 14:58 · Accepted Answer · 2012-12-02 14:58

Нет, ваш сервер делает то, что должен. Согласно записям в журнале, он возвращает код ошибки 403 (Запрещено) для этих запросов. Эти типы запросов довольно распространены - либо бот-сети сканируют открытые прокси-серверы, либо, возможно, ваш IP-адрес был открытым прокси-сервером до того, как он был назначен вам.

Вы можете попытаться заблокировать их, если хотите, но это, вероятно, не стоит делать.