Таинственный посетитель скрытой страницы PHP

Question

Таинственный посетитель скрытой страницы PHP

На моем веб-сайте у меня есть "скрытая" страница, которая отображает список самых последних посетителей. Там нет никаких ссылок на эту единственную страницу PHP, и, теоретически, только я знаю о ее существовании. Я проверяю это много раз в день, чтобы увидеть, какие у меня новые хиты.

Однако примерно раз в неделю я получаю попадание с адреса 208.80.194.* На этой предположительно скрытой странице (она записывает обращения к себе). Странно то, что этот загадочный человек / бот не посещает другие страницы моего сайта. Не общедоступные страницы PHP, а только эта скрытая страница, которая печатает посетителей. Это всегда один удар, а HTTP_REFERER пуст. Другие данные всегда являются некоторым изменением

Mozilla/4.0 (совместимо; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts;.NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... но иногда MSIE 6.0 вместо 7 и различных других плагинов. Браузер каждый раз отличается, как и с младшими битами адреса.

И это только так. Один удар в неделю или около того, на эту страницу. Абсолютно никакие другие страницы не тронуты этим загадочным посетителем.

Делать whois на этом IP-адресе было показано, что он из Нью-Йорка и интернет-провайдера "Websense". 8 младших разрядов адреса различаются, но они всегда из подсети 208.80.194.0 / 24.

С большинства компьютеров, которые я использую для доступа к своему веб-сайту, traceroute к моему серверу нигде нет роутера по пути с IP 208.80.*. Так что я могу подумать, что это исключает любой вид перехвата HTTP.

Как и почему это происходит? Это кажется совершенно мягким, но необъяснимым и немного жутким.

56

security forensics

Источник

Bill VB 04 апр '12 в 22:57

2 ответа

Решение

Диапазон IP-адресов принадлежит Websense. Вы можете запустить один из их продуктов.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

18

Источник

Raffael Luthiger 04 апр '12 в 23:55

Другие вопросы по тегам security forensics

Jeff Ferland 05 апр '12 в 00:00 2012-04-05 00:00 · Accepted Answer · 2012-04-05 00:00

Websense? Websense занимается классификацией URL-адресов и поиском "порочных" вещей в Интернете. Их продукты обычно появляются в корпоративной среде.

Держу пари, что вы получили доступ на секретную странице HTTP от компании, которая установлена Websense и они автоматически добавляются на странице их (предположительно Гаргантю) список страниц троллить проверки порно, варез, форумов и т.д.

Что касается изменяющегося заголовка, я предполагаю, что у их робота есть все возможные баннеры, чтобы выбрать из преднамеренно изменяющих их, чтобы маскировать себя от анализа и притворяться, что это не бот. Фактически, быстрый поиск в Google веб-смысла FunWebProducts почти подтверждает эту теорию.