Таємничий відвідувач прихованої сторінки PHP

На своєму веб-сайті у мене є «прихована» сторінка, на якій відображається список останніх відвідувачів. На цій єдиній сторінці PHP взагалі немає посилань, і, теоретично, я лише знаю про її існування. Я перевіряю це багато разів на день, щоб побачити, які у мене нові хіти.

Однак приблизно раз на тиждень я отримую звернення з адреси 208.80.194. * На цій нібито прихованій сторінці (вона записує звернення до себе). Дивна річ у цьому: ця загадкова людина / бот не відвідує жодної іншої сторінки на моєму сайті. Не загальнодоступні сторінки PHP, а лише ця прихована сторінка, яка друкує відвідувачів . Це завжди одне звернення, а HTTP_REFERER порожній. Інші дані завжди є різними

Mozilla / 4.0 (сумісний; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... але іноді MSIE 6.0замість 7 та різних інших плагінів. Веб-переглядач щоразу відрізняється, як і у бітах нижчого порядку адреси.

І це просто так. Одне звернення на тиждень або близько того до однієї сторінки. Абсолютно жодна інша сторінка цього загадкового відвідувача не торкається.

Здійснення whoisцієї IP-адреси показало, що це з Нью-Йорка та з Інтернет-провайдера "Websense". 8 біт адреси нижчого порядку відрізняються, але вони завжди є з підмережі 208.80.194.0 / 24 .

З більшості комп’ютерів, якими я користуюсь для доступу до свого веб-сайту, tracerouteна моєму сервері немає маршрутизатора ніде попутно з IP 208.80. *. Таким чином, я можу подумати, що це виключає нюхання HTTP.

Як і чому це відбувається? Це здається абсолютно доброякісним, але незрозумілим і трохи моторошним.

security forensics

— Білл В.Б.
джерело

Дуже цікаво; гуглити за FunWebProducts- другий результатHow do I uninstall Fun Web Products from my computer?

— Марк Хендерсон

Люблячи ці відповіді, моє перше запитання могло бути - ... це ти?

— Луї

FYI, опустіть htaccess на сторінку, змусивши її вимагати ім'я користувача та пароль, а websense вдарить його лише один раз перед тим, як відмовитись

— SpYk3HH

Відповіді:

Вебсенсе? Websense займається класифікацією URL-адрес та пошуком "неслухняних" речей в Інтернеті. Їх продукція зазвичай демонструється у корпоративних умовах.

Я б обміняв, що ви отримали доступ до своєї секретної сторінки HTTP від компанії, яка встановила Websense, і вони автоматично додали цю сторінку до свого (імовірно, гаргантського) списку сторінок, щоб перевірити тролі на порно, warez, форуми тощо.

Що стосується різного заголовка, я здогадуюсь, що їхній робот має всілякі банери, які вони можуть навмисно змінювати, щоб замаскувати себе з аналізу та зробити вигляд, що це не бот. Насправді, швидкий пошук в Google WebWebProducts FunWebProducts Google, окрім цього, підтверджує цю теорію.

— Джефф Ферланд
джерело

+1, тому що мені подобається вживання слова gargantuan :-) І тому, що це найвірогідніша причина, чому це відбувається.

— aseq

s/troll/trawl:-)

— Матті

@Matty Добрий момент ... тролінг приманює щось, тралінг тягне за собою ...

— Джефф Ферланд

@Matty Troll як дієслово також має значення: шукати, шукати, гойдати. Отриманий з техніки риболовлі.

— Plutor

І ця сторінка є вже другим результатом Google для "FunWebProducts websense"

— Бен Брокка

Діапазон IP-адрес належить Websense . У вас може бути запущений один із їхніх продуктів.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

— Раффаель Лютігер
джерело