Solicitudes extrañas de Facebook en el registro de Apache

tag-icon tag-icon apache-2.2
Solicitudes extrañas de Facebook en el registro de Apache

Tengo una gran cantidad de solicitudes extrañas en mis Apaches.registro_acceso.

Algunos ejemplos de los URI solicitados:

216.110.10.170 - - [22/May/2013:18:44:05 +0200] "GET /?url=https://mail.google.com/mail/?shva=1 HTTP/1.1" 401 1248
173.252.71.189 - - [22/May/2013:18:44:07 +0200] "GET /?url=http://www.amazon.com/gp/product/handle-buy-box/ref=dp_start-bbf_1_glance HTTP/1.1" 401 1248
69.63.185.56 - - [22/May/2013:18:43:09 +0200] "GET /?url=https://www.facebook.com/messages/susan.coop HTTP/1.1" 401 1248

Es interesante que todas esas direcciones IP estén registradas en Facebook.

Todas las solicitudes dan como resultado un 401 porque DocumentRoot del servidor está protegido por un archivo .htaccess.

Entonces, ¿alguien sabe por qué se hacen estas solicitudes?

Respuesta1

Están buscando un proxy abierto. Hay dos razones para hacer esto.

En primer lugar, y con mayor frecuencia, alguien busca un proxy abierto del que abusar. Este u otro tipo de análisis automático es el motivo más frecuente de entradas de registro sospechosas. La primera IP tiene un whois de referencia que parece apuntar a Facebook, pero notarás que la dirección es diferente y parece algo extraña (ni siquiera hay un contacto administrativo y la dirección es diferente). Podría tratarse, o no, de otra persona.

En segundo lugar, a veces las personas que buscan inteligencia de seguridad ejecutan este tipo de análisis para crear listas negras de servidores abiertos al abuso. Estos datos luego se pueden utilizar como entrada para una heurística (ya sea para mostrar un CAPTCHA, tal vez, o si una acción es sospechosa, se puede mejorar sabiendo si la solicitud provino de un proxy abierto). Facebook puede o no estar recopilando dichos datos.

Por supuesto, también es posible que un grupo de PC (o incluso servidores) en Facebook estuvieran comprometidos o estuvieran ejecutando una botnet o visitaran un enlace malicioso, y esa puede ser la razón del tráfico.

El impacto de dicho tráfico hacia algo que no sea un proxy abierto es básicamente nulo y es mejor ignorarlo.

Respuesta2

Es una prueba para ver si se puede abusar de su servidor como proxy abierto.

Además, la primera dirección IP pertenece a twtelecom.net, no a facebook. Los otros dos están en netblocks pertenecientes a facebook.

información relacionada