私のアパッチ族には奇妙な要求が山ほどあるアクセスログ。
要求された URI の例:
216.110.10.170 - - [22/May/2013:18:44:05 +0200] "GET /?url=https://mail.google.com/mail/?shva=1 HTTP/1.1" 401 1248
173.252.71.189 - - [22/May/2013:18:44:07 +0200] "GET /?url=http://www.amazon.com/gp/product/handle-buy-box/ref=dp_start-bbf_1_glance HTTP/1.1" 401 1248
69.63.185.56 - - [22/May/2013:18:43:09 +0200] "GET /?url=https://www.facebook.com/messages/susan.coop HTTP/1.1" 401 1248
これらすべての IP アドレスが Facebook に登録されているというのは興味深いことです。
サーバーの DocumentRoot は .htaccess ファイルによって保護されているため、すべてのリクエストは 401 になります。
では、なぜこのような要求がなされるのか、誰か知っていますか?
答え1
オープンプロキシをスキャンしています。これを行う理由は 2 つあります。
まず、最もよくあるのは、誰かが悪用できるオープン プロキシを探していることです。この方法や他の種類の自動スキャンが、疑わしいログ エントリの最も一般的な原因です。最初の IP には、Facebook を指していると思われる参照 Whois がありますが、アドレスが異なっており、少し奇妙に思えます (管理者の連絡先すらなく、アドレスが異なります)。これは、別の誰かである可能性もありますが、そうでない可能性もあります。
第二に、セキュリティ情報を探している人が、悪用される可能性のあるサーバーのブラックリストを作成するために、この種のスキャンを実行することがあります。このデータは、ヒューリスティックの入力として使用できます (CAPTCHA を表示するかどうか、またはアクションが疑わしいかどうかは、リクエストがオープン プロキシから送信されたかどうかを知ることで強化できます)。Facebook は、このようなデータを収集しているかどうかはわかりません。
もちろん、Facebook の多数の PC (またはサーバー) が侵害されたり、ボットネットを実行したり、悪意のあるリンクにアクセスしたりした可能性があり、それがトラフィックの原因である可能性もあります。
オープン プロキシ以外のものへのこのようなトラフィックの影響は基本的にゼロであり、無視するのが最善です。
答え2
これは、サーバーがオープン プロキシとして悪用される可能性があるかどうかを確認するためのテストです。
また、最初の IP アドレスは facebook ではなく twtelecom.net に属しています。他の 2 つは facebook に属するネットブロック内にあります。