Вопрос: Загадочный посетитель скрытой страницы PHP


На моем веб-сайте у меня есть «скрытая» страница, на которой отображается список самых последних посетителей. На этой единственной странице PHP нет ссылок, и, теоретически, я знаю только о ее существовании. Я проверяю это много раз в день, чтобы узнать, какие у меня новые хиты.

Однако, примерно раз в неделю, я получаю удар с адреса 208.80.194. * На этой предположительно скрытой странице (он записывает хиты сам по себе). Странная вещь такова: этот таинственный человек / бот не посещение Любые другая страница на моем сайте. Не публичные страницы PHP, но только эта скрытая страница, которая печатает посетителей, Это всегда один клик, а HTTP_REFERER пуст. Другими данными всегда являются некоторые вариации

Mozilla / 4.0 (совместимый MSIE 7.0, Windows NT 5.1, YPC 3.2.0, FunWebProducts, .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... но иногда MSIE 6.0 вместо 7 и других других плагинов. Браузер отличается каждый раз, как и младший бит адреса.

И это именно так. Один удар за неделю или около того, на одну страницу. Абсолютно никакие другие страницы не тронуты этим таинственным посетителем.

Выполнение whois на этом IP-адресе было показано, что это из района Нью-Йорка и из интернет-провайдера «Websense». Наименьший порядок 8 бит адреса меняется, но они всегда от 208.80.194.0/ 24 подсети.

На большинстве компьютеров, которые я использую для доступа к моему веб-сайту, traceroute на мой сервер не содержит маршрутизатора в любом месте по пути с IP 208.80. *. Я могу подумать, что это исключает какой-либо HTTP-обнюхивание.

Как и почему это происходит? Это кажется совершенно доброкачественным, но необъяснимым и немного жутким.


55
2018-04-04 22:57


Источник


Очень интересно; googling для FunWebProducts - второй результат How do I uninstall Fun Web Products from my computer? - Mark Henderson♦
Любя эти ответы, мой первый вопрос должен был быть ... это ты? - Louis
FYI, отбросьте htaccess на странице, заставив его потребовать имя пользователя и пароль, и websense только ударит его еще раз, прежде чем отказаться от него - SpYk3HH
@ SpYk3HH - хорошо, спасибо! - B. VB.


Ответы:


Websense? Websense занимается классификацией URL-адресов и ищет «непослушные» вещи в Интернете. Их продукция обычно появляется в корпоративной среде.

Держу пари, что вы получили доступ на секретную странице HTTP от компании, которая установлена ​​Websense и они автоматически добавляются на странице их (предположительно Гаргантю) список страниц троллить проверки порно, варез, форумов и т.д.

Что касается изменяющегося заголовка, я предполагаю, что у их робота есть всевозможные баннеры, чтобы выбрать из намеренно их изменения, чтобы скрыть себя от анализа и притвориться, что это не бот. Фактически, быстро Поиск в Google FunWebProducts websense все, но подтверждает теорию.


89
2018-04-05 00:00



+1, потому что мне нравится использование слова gargantuan :-) И потому что это наиболее вероятная причина, почему это происходит. - aseq
s/troll/trawl:-) - Matty
@Matty Хорошая точка ... троллинг тратит на что-то, траление тянет за ним ... - Jeff Ferland
@Matty Troll как глагол также имеет смысл: искать, смотреть, рыскать. Выведено из рыболовной техники. - Plutor
И эта страница уже является вторым результатом Google для «FunWebProducts websense», - Ben Brocka


Диапазон IP-адресов принадлежит Websense, У вас может быть один из их продуктов.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

18
2018-04-04 23:55