Solicitações estranhas do Facebook no log do Apache

Question 1

Eles estão procurando por um proxy aberto. Existem duas razões para fazer isso.

Primeiro, e na maioria das vezes, alguém procura um proxy aberto para abusar. Este ou algum outro tipo de verificação automática é o motivo mais frequente para entradas de log suspeitas. O primeiro IP tem um whois de referência que parece apontar para o Facebook, mas você notará que o endereço é diferente e parece um pouco estranho (não há nem mesmo um contato administrativo e o endereço é diferente). Pode ou não ser outra pessoa.

Em segundo lugar, às vezes as pessoas que procuram inteligência de segurança executam esses tipos de varreduras para criar listas negras de servidores abertas a abusos. Esses dados podem então ser usados como entrada para uma heurística (seja para mostrar um CAPTCHA, talvez, ou se uma ação é suspeita, pode ser melhorado sabendo se a solicitação veio de um proxy aberto). O Facebook pode ou não estar coletando esses dados.

Claro, também é possível que vários PCs (ou mesmo servidores) no Facebook tenham sido comprometidos, estejam executando uma botnet ou tenham visitado um link malicioso, e esse pode ser o motivo do tráfego.

O impacto desse tráfego em direção a algo que não seja um proxy aberto é basicamente nulo e é melhor ignorá-lo.

Answer

Eles estão procurando por um proxy aberto. Existem duas razões para fazer isso.

Primeiro, e na maioria das vezes, alguém procura um proxy aberto para abusar. Este ou algum outro tipo de verificação automática é o motivo mais frequente para entradas de log suspeitas. O primeiro IP tem um whois de referência que parece apontar para o Facebook, mas você notará que o endereço é diferente e parece um pouco estranho (não há nem mesmo um contato administrativo e o endereço é diferente). Pode ou não ser outra pessoa.

Em segundo lugar, às vezes as pessoas que procuram inteligência de segurança executam esses tipos de varreduras para criar listas negras de servidores abertas a abusos. Esses dados podem então ser usados como entrada para uma heurística (seja para mostrar um CAPTCHA, talvez, ou se uma ação é suspeita, pode ser melhorado sabendo se a solicitação veio de um proxy aberto). O Facebook pode ou não estar coletando esses dados.

Claro, também é possível que vários PCs (ou mesmo servidores) no Facebook tenham sido comprometidos, estejam executando uma botnet ou tenham visitado um link malicioso, e esse pode ser o motivo do tráfego.

O impacto desse tráfego em direção a algo que não seja um proxy aberto é basicamente nulo e é melhor ignorá-lo.

Question 2

É um teste para ver se o seu servidor pode ser abusado como um proxy aberto.

Além disso, o primeiro endereço IP pertence ao twtelecom.net, não ao facebook. Os outros dois estão em netblocks pertencentes ao Facebook.

Answer

É um teste para ver se o seu servidor pode ser abusado como um proxy aberto.

Além disso, o primeiro endereço IP pertence ao twtelecom.net, não ao facebook. Os outros dois estão em netblocks pertencentes ao Facebook.

Solicitações estranhas do Facebook no log do Apache

Responder1

Responder2

informação relacionada