Pengunjung misterius ke halaman PHP tersembunyi

Di situs web saya, saya memiliki halaman "tersembunyi" yang menampilkan daftar pengunjung terbaru. Tidak ada tautan sama sekali ke halaman PHP tunggal ini, dan, secara teori, hanya saya yang tahu keberadaannya. Saya memeriksanya berkali-kali per hari untuk melihat hit baru apa yang saya miliki.

Namun, sekitar seminggu sekali, saya mendapatkan hit dari alamat 208.80.194. * Pada halaman yang seharusnya disembunyikan ini (ia mencatat hit untuk dirinya sendiri). Yang aneh adalah ini: ini misterius orang / bot tidak tidak mengunjungi setiap halaman lain di situs saya. Bukan halaman PHP publik, tetapi hanya halaman tersembunyi ini yang mencetak pengunjung . Itu selalu satu klik, dan HTTP_REFERER kosong. Data lain selalu beberapa variasi

Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... tapi kadang-kadang MSIE 6.0bukannya 7, dan berbagai plug in lainnya. Peramban berbeda setiap kali, seperti halnya bit alamat urutan terendah.

Dan hanya itu saja. Satu pukulan per minggu atau lebih, ke satu halaman itu. Sama sekali tidak ada halaman lain yang disentuh oleh pengunjung misterius ini.

Melakukan whoispada alamat IP menunjukkan itu dari daerah New York, dan dari ISP "Websense". Urutan terendah 8 bit alamat bervariasi, tetapi mereka selalu dari subnet 208.80.194.0 / 24 .

Dari sebagian besar komputer yang saya gunakan untuk mengakses situs web saya, melakukan tracerouteke server saya tidak mengandung router di mana pun sepanjang jalan dengan IP 208.80. *. Jadi itu mengesampingkan segala jenis HTTP sniffing, saya pikir.

Bagaimana dan mengapa ini terjadi? Tampaknya benar-benar jinak, tetapi tidak bisa dijelaskan dan sedikit menyeramkan.

security forensics

— Bill VB
sumber

Sangat menarik; googling untuk FunWebProducts- hasil kedua adalahHow do I uninstall Fun Web Products from my computer?

— Mark Henderson

Mencintai jawaban ini, pertanyaan pertama saya adalah - ... apakah itu Anda?

— Louis

FYI, letakkan htaccess di halaman yang menyebabkannya membutuhkan nama pengguna dan pass dan websense hanya akan memukulnya sekali lagi sebelum menyerah

— SpYk3HH

Jawaban:

Websense? Websense berada dalam bisnis untuk mengklasifikasikan URL dan mencari hal-hal "nakal" di Internet. Produk mereka biasanya muncul di lingkungan perusahaan.

Saya berani bertaruh bahwa Anda mengakses halaman rahasia HTTP Anda dari perusahaan yang memasang Websense dan mereka secara otomatis menambahkan halaman ke daftar halaman mereka (mungkin raksasa) untuk memeriksa porn, warez, forum, dll.

Adapun header yang berbeda-beda, saya kira robot mereka memiliki segala kemungkinan spanduk untuk memilih dari sengaja mengubahnya hingga menutupi dirinya dari analisis dan berpura-pura itu bukan bot. Faktanya, pencarian cepat Google dari FunWebProducts websense semuanya menguatkan teorinya.

— Jeff Ferland
sumber

1 karena saya suka menggunakan kata gargantuan :-) Dan karena itu adalah alasan yang paling mungkin mengapa ini terjadi.

— aseq

s/troll/trawl:-)

— Matty

@Matty Poin bagus ... trolling adalah umpan untuk sesuatu, pukat menyeret untuk itu ...

— Jeff Ferland

@Matty Troll sebagai kata kerja juga memiliki arti: pencarian, lihat, mencari mangsa. Berasal dari teknik memancing.

— Plutor

Dan halaman ini sudah menjadi hasil Google kedua untuk "FunWebProducts websense"

— Ben Brocka

Kisaran alamat IP milik Websense . Anda mungkin menjalankan salah satu produk mereka.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

— Raffael Luthiger
sumber