Tajemniczy gość ukrytej strony PHP

56

W mojej witrynie mam „ukrytą” stronę, która wyświetla listę ostatnich użytkowników. Nie ma żadnych linków do tej pojedynczej strony PHP i teoretycznie tylko ja wiem o jej istnieniu. Sprawdzam to wiele razy dziennie, aby zobaczyć, jakie mam nowe hity.

Jednak mniej więcej raz w tygodniu dostaję trafienie z adresu 208.80.194. * Na tej rzekomo ukrytej stronie (rejestruje trafienia do siebie). Dziwne jest to, że ta tajemnicza osoba / bot nie odwiedza żadnej innej strony w mojej witrynie. Nie publiczne strony PHP, ale tylko ta ukryta strona, która drukuje odwiedzających . Jest to zawsze pojedyncze trafienie, a HTTP_REFERER jest pusty. Pozostałe dane są zawsze pewną odmianą

Mozilla / 4.0 (kompatybilny; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... ale czasami MSIE 6.0zamiast 7 i różnych innych wtyczek. Przeglądarka jest za każdym razem inna, jak w przypadku bitów adresu o najniższym rzędzie.

I po prostu to. Około jednego trafienia na tydzień na tej jednej stronie. Ten tajemniczy gość nie dotyka żadnych innych stron.

Wykonanie whoisna tym adresie IP pokazało, że pochodzi on z obszaru Nowego Jorku i od dostawcy usług internetowych „Websense”. 8 bitów adresu najniższego rzędu różni się, ale zawsze pochodzą one z podsieci 208.80.194.0 / 24 .

Na większości komputerów, których używam do uzyskania dostępu do mojej witryny, robienie traceroutena moim serwerze nie zawiera routera nigdzie po drodze z adresem IP 208.80. *. Myślę, że wyklucza to wszelkiego rodzaju wąchanie HTTP.

Jak i dlaczego tak się dzieje? Wydaje się całkowicie łagodny, ale niewytłumaczalny i trochę przerażający.

security forensics Bill VB
źródło
11
Bardzo interesujące; googling dla FunWebProducts- drugi wynik toHow do I uninstall Fun Web Products from my computer?
Mark Henderson
3
Uwielbiając te odpowiedzi, moim pierwszym pytaniem było - ... czy to ty?
Louis
1
Do Twojej wiadomości, upuść htaccess na stronie, powodując, że będzie wymagała podania nazwy użytkownika i podania, a websense uderzy go jeszcze raz, zanim go
zrezygnuje

Odpowiedzi:

90

Websense? Websense zajmuje się klasyfikowaniem adresów URL i szukaniem „niegrzecznych” rzeczy w Internecie. Ich produkty zwykle pojawiają się w środowiskach korporacyjnych.

Założę się, że uzyskałeś dostęp do swojej tajnej strony HTTP od firmy, która ma zainstalowaną Websense, a ona automatycznie dodała tę stronę do (prawdopodobnie gigantycznej) listy stron do sprawdzania trolla pod kątem pornografii, artykułów, forów itp.

Jeśli chodzi o zmienny nagłówek, domyślam się, że ich robot ma wiele możliwych bannerów do wyboru, celowo zmienia je, aby zamaskować się przed analizą i udawać, że nie jest botem. W rzeczywistości szybkie wyszukiwanie w Google FunWebProducts websense prawie potwierdza teorię.

Jeff Ferland
źródło
7
+1, ponieważ podoba mi się użycie słowa gargantuan :-) A ponieważ jest to najbardziej prawdopodobny powód, dla którego tak się dzieje.
aseq
1
s/troll/trawl:-)
Matty
3
@Matty Dobry punkt ... trolling przynęty jest coś, trałowania ciągnie za nią ...
Jeff Ferland
2
@Matty Troll jako czasownik ma również znaczenie: szukaj, patrz, grasuj. Pochodzi z techniki połowowej.
Plutor
1
Ta strona jest już drugim wynikiem Google dla „FunWebProducts websense”
Ben Brocka,
18

Zakres adresów IP należy do Websense . Być może jeden z ich produktów jest uruchomiony.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
Raffael Luthiger
źródło