Таинственный посетитель скрытой страницы PHP

56

На моем веб-сайте у меня есть «скрытая» страница, которая отображает список самых последних посетителей. Там нет никаких ссылок на эту единственную страницу PHP, и, теоретически, только я знаю о ее существовании. Я проверяю это много раз в день, чтобы увидеть, какие у меня новые хиты.

Однако примерно раз в неделю я получаю попадание с адреса 208.80.194. * На этой предположительно скрытой странице (она записывает обращения к себе). Самое странное заключается в следующем: этот загадочный человек / бот никак не посетить любую другую страницу на моем сайте. Не общедоступные страницы PHP, а только эта скрытая страница, которая печатает посетителей . Это всегда один удар, а HTTP_REFERER пуст. Другие данные всегда являются некоторым изменением

Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... но иногда MSIE 6.0вместо 7 и различных других плагинов. Браузер каждый раз отличается, как и с младшими битами адреса.

И это только так. Один удар в неделю или около того, на эту страницу. Абсолютно никакие другие страницы не тронуты этим загадочным посетителем.

Выполнение запроса whoisна этом IP-адресе показало, что он из Нью-Йорка и интернет-провайдера "Websense". 8 младших разрядов адреса различаются, но они всегда из подсети 208.80.194.0 / 24 .

На большинстве компьютеров, которые я использую для доступа к своему веб-сайту, выполнение tracerouteзапроса к моему серверу нигде не содержит маршрутизатора с IP 208.80. *. Так что я могу подумать, что это исключает любой вид перехвата HTTP.

Как и почему это происходит? Это кажется совершенно мягким, но необъяснимым и немного жутким.

Билл В.Б.
источник
11
Очень интересно; погуглил FunWebProducts- второй результатHow do I uninstall Fun Web Products from my computer?
Марк Хендерсон
3
Любя эти ответы, мой первый вопрос будет ... - это ты?
Луи
1
К вашему сведению, добавьте htaccess на страницу, заставив его требовать имя пользователя и пароль, и websense ударит по нему только один раз, прежде чем отказаться от него
SpYk3HH

Ответы:

90

Websense? Websense занимается классификацией URL-адресов и поиском «порочных» вещей в Интернете. Их продукты обычно появляются в корпоративной среде.

Держу пари, что вы получили доступ на секретную странице HTTP от компании, которая имеет установленный Websense, и они автоматически добавляются страницы к их (предположительно Гаргантю) списку страниц Troll проверки порно, варез, форумы и т.д.

Что касается изменяющегося заголовка, я предполагаю, что у его робота есть все возможные баннеры, чтобы выбрать из преднамеренно изменяющих их, чтобы маскировать себя от анализа и притворяться, что это не бот. Фактически, быстрый поиск в Google веб-смысла FunWebProducts почти подтверждает эту теорию.

Джефф Ферланд
источник
7
+1 потому что мне нравится использование слова gargantuan :-) И потому что это наиболее вероятная причина, почему это происходит.
2012 г.
1
s/troll/trawl:-)
Мэтти
3
@ Матти Хороший вопрос ... троллинг чего-то травит, траление тянет за ним ...
Джефф Ферланд
2
@Matty Troll как глагол также имеет значение: искать, смотреть, рыскать. Получено от рыболовной техники.
Plutor
1
И эта страница - уже второй результат Google для "FunWebProducts websense"
Бен Брока
18

Диапазон IP-адресов принадлежит Websense . Вы можете запустить один из их продуктов.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
Рафаэль Лютигер
источник