Khách truy cập bí ẩn đến trang PHP ẩn

56

Trên trang web của tôi, tôi có một trang "ẩn" hiển thị danh sách những khách truy cập gần đây nhất. Không tồn tại liên kết nào với trang PHP duy nhất này và về mặt lý thuyết, chỉ tôi biết về sự tồn tại của nó. Tôi kiểm tra nó nhiều lần mỗi ngày để xem những gì tôi có hit mới.

Tuy nhiên, khoảng một lần một tuần, tôi nhận được một lần truy cập từ một địa chỉ 208.80.194. * Trên trang được cho là bị ẩn này (nó ghi lại các lần truy cập vào chính nó). Điều kỳ lạ là đây: người / bot bí ẩn này không truy cập bất kỳ trang nào khác trên trang web của tôi. Không phải các trang PHP công khai, mà chỉ có trang ẩn này in ra các khách truy cập . Đây luôn là một lần truy cập duy nhất và HTTP_REFERER trống. Các dữ liệu khác luôn là một số biến thể của

Mozilla / 4.0 (tương thích; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWeb Products; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... nhưng đôi khi MSIE 6.0thay vì 7 và nhiều trình cắm khác. Trình duyệt khác nhau mỗi lần, như với các bit thứ tự thấp nhất của địa chỉ.

Và nó chỉ có thế. Một lần nhấn mỗi tuần hoặc lâu hơn, đến một trang đó. Tuyệt đối không có trang nào khác được chạm vào bởi vị khách bí ẩn này.

Thực hiện một whoisđịa chỉ IP đó cho thấy nó từ khu vực New York và từ ISP "Websense". Thứ tự thấp nhất 8 bit của địa chỉ khác nhau, nhưng chúng luôn nằm trong mạng con 208.80.194.0 / 24 .

Từ hầu hết các máy tính mà tôi sử dụng để truy cập trang web của mình, thực hiện một traceroutemáy chủ của tôi không chứa bộ định tuyến ở bất kỳ đâu trên đường đi với IP 208,80. *. Vì vậy, tôi có thể loại trừ bất kỳ loại đánh hơi HTTP nào.

Làm thế nào và tại sao điều này xảy ra? Nó có vẻ hoàn toàn lành tính, nhưng không thể giải thích và một chút đáng sợ.

security  forensics 
Hóa đơn VB
nguồn
11
Rất thú vị; googling cho FunWebProducts- kết quả thứ hai làHow do I uninstall Fun Web Products from my computer?
Mark Henderson
3
Yêu những câu trả lời này, câu hỏi đầu tiên của tôi sẽ là - ... có phải bạn không?
Louis
1
FYI, bỏ một htaccess trên trang khiến nó yêu cầu tên người dùng và vượt qua và websense sẽ chỉ đánh một lần nữa trước khi từ bỏ
SpYk3HH

Câu trả lời:

90

Websense? Websense hoạt động trong việc phân loại URL và tìm kiếm những thứ "nghịch ngợm" trên Internet. Sản phẩm của họ thường xuất hiện trong môi trường doanh nghiệp.

Tôi cá là bạn đã truy cập trang HTTP bí mật của mình từ một công ty đã cài đặt Websense và họ tự động thêm trang vào danh sách các trang (có lẽ là rất lớn) của họ để troll kiểm tra nội dung khiêu dâm, warez, diễn đàn, v.v.

Đối với tiêu đề khác nhau, tôi đoán robot của họ có đủ loại biểu ngữ có thể để chọn từ một chủ ý thay đổi chúng để che giấu bản thân khỏi phân tích và giả vờ đó không phải là bot. Trên thực tế, một tìm kiếm nhanh trên Google về websense Funs nhưng tất cả đều xác nhận lý thuyết.

Jeff Ferland
nguồn
7
+1 vì tôi thích việc sử dụng từ gargantuan :-) Và vì đó là lý do rất có thể khiến điều này xảy ra.
aseq
1
s/troll/trawl:-)
Matty
3
@Matty Điểm hay ... trolling là mồi cho một cái gì đó, lưới kéo đang kéo cho nó ...
Jeff Ferland
2
@Matty Troll như một động từ cũng có nghĩa: tìm kiếm, nhìn, đi dạo. Xuất phát từ kỹ thuật đánh bắt cá.
Plutor
1
Và trang này đã là kết quả thứ hai của Google cho "FunWeb Products websense"
Ben Brocka
18

Phạm vi địa chỉ IP thuộc về Websense . Bạn có thể có một trong những sản phẩm của họ đang chạy.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
Raffael Luthiger
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.