내 Apache에 이상한 요청이 엄청나게 많이 있습니다.액세스_로그.
요청된 URI의 몇 가지 예:
216.110.10.170 - - [22/May/2013:18:44:05 +0200] "GET /?url=https://mail.google.com/mail/?shva=1 HTTP/1.1" 401 1248
173.252.71.189 - - [22/May/2013:18:44:07 +0200] "GET /?url=http://www.amazon.com/gp/product/handle-buy-box/ref=dp_start-bbf_1_glance HTTP/1.1" 401 1248
69.63.185.56 - - [22/May/2013:18:43:09 +0200] "GET /?url=https://www.facebook.com/messages/susan.coop HTTP/1.1" 401 1248
흥미로운 점은 해당 IP 주소가 모두 Facebook에 등록되어 있다는 것입니다.
서버의 DocumentRoot가 .htaccess 파일로 보호되기 때문에 모든 요청에서 401이 발생합니다.
그렇다면 이러한 요청이 왜 이루어지는지 아는 사람이 있습니까?
답변1
그들은 개방형 프록시를 검색하고 있습니다. 이렇게 하는 데에는 두 가지 이유가 있습니다.
첫째, 가장 자주 누군가는 남용할 공개 프록시를 찾고 있습니다. 이 유형 또는 다른 유형의 자동 검사는 의심스러운 로그 항목이 발생하는 가장 일반적인 이유입니다. 첫 번째 IP에는 페이스북을 가리키는 것으로 보이는 추천 whois가 있지만 주소가 다르고 다소 이상해 보입니다(관리자 연락처도 없고 주소도 다릅니다). 이 사람은 다른 사람일 수도 있고 아닐 수도 있습니다.
둘째, 보안 인텔리전스를 찾는 사람들은 이러한 유형의 검사를 실행하여 남용할 수 있는 서버 블랙리스트를 만드는 경우가 있습니다. 그런 다음 이 데이터를 휴리스틱에 대한 입력으로 사용할 수 있습니다(보안 문자를 표시할지 여부 또는 작업이 의심스러운지 여부는 요청이 공개 프록시에서 왔는지 여부를 파악하여 향상될 수 있음). Facebook은 그러한 데이터를 수집할 수도 있고 수집하지 않을 수도 있습니다.
물론 Facebook에 있는 다수의 PC(또는 서버)가 손상되었거나 봇넷을 실행하거나 악성 링크를 방문했을 수도 있으며 이것이 트래픽의 원인일 수 있습니다.
개방형 프록시가 아닌 다른 것에 대한 이러한 트래픽의 영향은 기본적으로 전혀 없으며 무시하는 것이 가장 좋습니다.
답변2
귀하의 서버가 공개 프록시로 악용될 수 있는지 확인하는 테스트입니다.
또한 첫 번째 IP 주소는 facebook이 아닌 twtelecom.net에 속합니다. 나머지 두 개는 페이스북에 속한 넷블록에 있습니다.