我的阿帕契有大量奇怪的請求訪問日誌。
請求的 URI 的一些範例:
216.110.10.170 - - [22/May/2013:18:44:05 +0200] "GET /?url=https://mail.google.com/mail/?shva=1 HTTP/1.1" 401 1248
173.252.71.189 - - [22/May/2013:18:44:07 +0200] "GET /?url=http://www.amazon.com/gp/product/handle-buy-box/ref=dp_start-bbf_1_glance HTTP/1.1" 401 1248
69.63.185.56 - - [22/May/2013:18:43:09 +0200] "GET /?url=https://www.facebook.com/messages/susan.coop HTTP/1.1" 401 1248
有趣的是,所有這些 IP 位址都註冊到了 Facebook。
所有請求都會導致 401,因為伺服器的 DocumentRoot 受 .htaccess 檔案保護。
那麼有人知道為什麼要提出這些要求嗎?
答案1
他們正在掃描開放代理。這樣做有兩個原因。
首先,也是最常見的情況是,有人正在尋找開放代理來濫用。這種或某種其他類型的自動掃描是可疑日誌條目最常見的原因。第一個 IP 有一個推薦 whois,似乎指向 facebook,但您會注意到地址不同,而且看起來有些奇怪(甚至沒有管理員聯絡人,而且地址不同)。這可能是別人,也可能不是。
其次,有時尋找安全情報的人會執行這些類型的掃描,以將伺服器列入黑名單以供濫用。然後,該資料可以用作啟發式的輸入(無論是否顯示驗證碼,或者操作是否可疑,都可以透過了解請求是否來自開放代理來增強)。 Facebook 可能會也可能不會收集此類數據。
當然,也有可能 Facebook 的一堆 PC(甚至伺服器)遭到入侵或運行殭屍網路或訪問了惡意鏈接,這可能是流量的原因。
此類流量對開放代理以外的其他事物的影響基本上為零,最好忽略它。
答案2
這是一個測試,看看你的伺服器是否可以被濫用作為開放代理。
另外,第一個 IP 位址屬於 twtelecom.net,而不是 facebook。另外兩個位於 facebook 的網路區塊中。