Seltsame Anfragen von Facebook im Apache-Protokoll

Question 1

Sie suchen nach einem offenen Proxy. Dafür gibt es zwei Gründe.

Erstens und am häufigsten sucht jemand nach einem offenen Proxy, den er missbrauchen kann. Diese oder eine andere Art der automatischen Überprüfung ist der häufigste Grund für verdächtige Protokolleinträge. Die erste IP hat ein Whois-Referenz-File, das auf Facebook zu verweisen scheint, aber Sie werden feststellen, dass die Adresse anders ist und etwas seltsam aussieht (es gibt nicht einmal einen Administratorkontakt und die Adresse ist anders). Dies könnte jemand anderes sein, muss es aber nicht.

Zweitens führen Leute, die nach Sicherheitsinformationen suchen, manchmal solche Scans durch, um schwarze Listen mit Servern zu erstellen, die für Missbrauch anfällig sind. Diese Daten können dann als Eingabe für eine Heuristik verwendet werden (ob beispielsweise ein CAPTCHA angezeigt werden soll oder ob eine Aktion verdächtig ist, kann verbessert werden, wenn man weiß, ob die Anfrage von einem offenen Proxy kam). Facebook sammelt solche Daten möglicherweise, vielleicht aber auch nicht.

Natürlich ist es auch möglich, dass eine Reihe von PCs (oder sogar Servern) bei Facebook kompromittiert wurden oder ein Botnetz betrieben oder einen bösartigen Link besuchten, und dass dies der Grund für den Datenverkehr sein könnte.

Die Auswirkungen eines solchen Datenverkehrs auf andere Dinge als einen offenen Proxy sind grundsätzlich gleich Null und sollten am besten ignoriert werden.

Answer

Sie suchen nach einem offenen Proxy. Dafür gibt es zwei Gründe.

Erstens und am häufigsten sucht jemand nach einem offenen Proxy, den er missbrauchen kann. Diese oder eine andere Art der automatischen Überprüfung ist der häufigste Grund für verdächtige Protokolleinträge. Die erste IP hat ein Whois-Referenz-File, das auf Facebook zu verweisen scheint, aber Sie werden feststellen, dass die Adresse anders ist und etwas seltsam aussieht (es gibt nicht einmal einen Administratorkontakt und die Adresse ist anders). Dies könnte jemand anderes sein, muss es aber nicht.

Zweitens führen Leute, die nach Sicherheitsinformationen suchen, manchmal solche Scans durch, um schwarze Listen mit Servern zu erstellen, die für Missbrauch anfällig sind. Diese Daten können dann als Eingabe für eine Heuristik verwendet werden (ob beispielsweise ein CAPTCHA angezeigt werden soll oder ob eine Aktion verdächtig ist, kann verbessert werden, wenn man weiß, ob die Anfrage von einem offenen Proxy kam). Facebook sammelt solche Daten möglicherweise, vielleicht aber auch nicht.

Natürlich ist es auch möglich, dass eine Reihe von PCs (oder sogar Servern) bei Facebook kompromittiert wurden oder ein Botnetz betrieben oder einen bösartigen Link besuchten, und dass dies der Grund für den Datenverkehr sein könnte.

Die Auswirkungen eines solchen Datenverkehrs auf andere Dinge als einen offenen Proxy sind grundsätzlich gleich Null und sollten am besten ignoriert werden.

Question 2

Es handelt sich um einen Test, um festzustellen, ob Ihr Server als offener Proxy missbraucht werden kann.

Außerdem gehört die erste IP-Adresse zu twtelecom.net und nicht zu Facebook. Die anderen beiden befinden sich in Netzblöcken, die zu Facebook gehören.

Answer

Es handelt sich um einen Test, um festzustellen, ob Ihr Server als offener Proxy missbraucht werden kann.

Außerdem gehört die erste IP-Adresse zu twtelecom.net und nicht zu Facebook. Die anderen beiden befinden sich in Netzblöcken, die zu Facebook gehören.

Seltsame Anfragen von Facebook im Apache-Protokoll

Antwort1

Antwort2

verwandte Informationen