Назад | Перейти на главную страницу

Используется ли мой веб-сервер для банковского мошенничества?

Через несколько недель я получаю много ошибок 403 от apache в моих файлах журналов, которые, похоже, связаны со схемой мошенничества в банке.

Соответствующие записи журнала выглядят следующим образом (ip 1.2.3.4 - это тот, который я придумал, я не менял остальную часть каждой строки)

www.bradesco.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 427 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.bb.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:32 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.santander.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"
www.banese.com.br:80 / 1.2.3.4 - - [01/Dec/2012:07:20:33 +0100] "GET / HTTP/1.1" 403 370 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11"

формат журнала, который я использую:

LogFormat "%V:%p %U %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\""

Странно то, что все эти домены являются доменами банков и 3 из 4-х доменов также входят в список схемы банковского мошенничества, описанной на: http://www.abuse.ch/?p=2925

  1. Я действительно хотел бы знать, используется ли мой сервер для мошенничества с банками или нет. Я подозреваю, что нет, потому что он дает 403 на все запросы. Но любые дополнительные проверки, которые я могу сделать, чтобы убедиться, что мой сервер не подвергается злоупотреблениям, приветствуются.

  2. Мне также любопытно, как «плохие парни» ожидали от моего сервера поведения. Т.е. они просто ожидают, что мой сервер будет действовать как прокси-сервер, чтобы скрыть IP-адрес поддельного сайта, или они ожидают, что мой сервер действительно будет обслуживать поддельный банковский сайт?

  3. IP 1.2.3.4 с большей вероятностью будет IP жертвы или IP плохого парня. Я подозреваю плохого парня, потому что маловероятно, что реальный человек посетит 4 сайта банка за секунду. Если это от плохого парня, мне очень любопытно, что он пытается сделать.

Нет, ваш сервер делает то, что должен. Согласно записям журнала, он возвращает 403 (Запрещено) код ошибки для этих запросов. Этот тип запросов довольно распространен - ​​либо бот-сети сканируют открытые прокси, либо, возможно, ваш IP-адрес был открытым прокси-сервером до того, как он был назначен вам.

Вы мог попробуйте заблокировать их, если хотите, но, вероятно, этого делать не стоит.