Visitatore misterioso alla pagina nascosta di PHP

Sul mio sito web, ho una pagina "nascosta" che mostra un elenco dei visitatori più recenti. Non esiste alcun collegamento a questa singola pagina PHP e, teoricamente, solo io so della sua esistenza. Lo controllo più volte al giorno per vedere quali nuovi successi ho.

Tuttavia, circa una volta alla settimana, ricevo un hit da un indirizzo 208.80.194. * Su questa pagina presumibilmente nascosta (registra i hit su se stessa). La cosa strana è questa: questa misteriosa persona / bot non non visitare qualsiasi altra pagina del mio sito. Non le pagine pubbliche di PHP, ma solo questa pagina nascosta che stampa i visitatori . È sempre un singolo hit e HTTP_REFERER è vuoto. Gli altri dati sono sempre una variazione di

Mozilla / 4.0 (compatibile; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... ma a volte MSIE 6.0invece di 7 e vari altri plug-in. Il browser cambia ogni volta, come con i bit di ordine più basso dell'indirizzo.

Ed è proprio quello. Un colpo alla settimana o giù di lì, a quella pagina. Assolutamente nessun'altra pagina viene toccata da questo misterioso visitatore.

Fare un whoisindirizzo IP su quello ha mostrato che proviene dall'area di New York e dall'ISP "Websense". L'ordine più basso 8 bit dell'indirizzo varia, ma sono sempre dalla sottorete 208.80.194.0 / 24 .

Dalla maggior parte dei computer che utilizzo per accedere al mio sito Web, eseguire una operazione traceroutesul mio server non contiene alcun router lungo la strada con IP 208.80. *. In modo da escludere qualsiasi tipo di sniffing HTTP, potrei pensare.

Come e perché sta succedendo questo? Sembra del tutto benigno, ma inspiegabile e un po 'inquietante.

security forensics

— Bill VB
fonte

Molto interessante; googling per FunWebProducts- il secondo risultato èHow do I uninstall Fun Web Products from my computer?

— Mark Henderson

Amando queste risposte, la mia prima domanda sarebbe stata ... ... sei tu?

— Louis,

Cordiali saluti, rilascia un htaccess sulla pagina facendogli richiedere username e pass e websense lo colpirà ancora una volta prima di rinunciare

— SpYk3HH

Risposte:

Websense? Websense si occupa di classificare gli URL e di cercare cose "cattive" su Internet. I loro prodotti di solito si presentano in ambienti aziendali.

Scommetto che hai effettuato l'accesso alla tua pagina segreta di HTTP da una società che ha installato Websense e hanno aggiunto automaticamente la pagina al loro elenco (presumibilmente gigantesco) di pagine per controllare la presenza di porno, warez, forum, ecc.

Per quanto riguarda l'intestazione variabile, suppongo che il loro robot abbia tutti i tipi di banner possibili tra cui scegliere per cambiarli intenzionalmente fino a mascherarsi dall'analisi e fingere che non sia un bot. In effetti, una rapida ricerca su Google di FunWebProducts dà quasi un senso alla teoria.

— Jeff Ferland
fonte

+1 perché mi piace l'uso della parola gargantuan :-) E perché è la ragione più probabile per cui questo accade.

— aseq,

s/troll/trawl:-)

— Matty

@Matty Buon punto ... la pesca a traina sta attirando qualcosa, la pesca a strascico lo sta trascinando ...

— Jeff Ferland

@Matty Troll come verbo ha anche il significato: cerca, guarda, aggirati. Derivato dalla tecnica di pesca.

— Plutor

E questa pagina è già il secondo risultato di Google per "FunWebProducts websense"

— Ben Brocka,

L'intervallo di indirizzi IP appartiene a Websense . È possibile che uno dei loro prodotti sia in esecuzione.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

— Raffael Luthiger
fonte