Vraag Mysterieuze bezoeker van een verborgen PHP-pagina


Op mijn website heb ik een "verborgen" pagina met een lijst met de meest recente bezoekers. Er zijn helemaal geen links naar deze enkele PHP-pagina, en theoretisch weet ik alleen van het bestaan ​​ervan. Ik controleer het vaak per dag om te zien welke nieuwe hits ik heb.

Echter, ongeveer een keer per week krijg ik een hit van een 208.80.194. * -Adres op deze zogenaamd verborgen pagina (het registreert hits naar zichzelf). Het vreemde is dit: deze mysterieuze persoon / bot niet bezoek ieder andere pagina op mijn site. Niet de openbare PHP-pagina's, maar enkel en alleen deze verborgen pagina die de bezoekers afdrukt. Het is altijd een enkele hit en de HTTP_REFERER is leeg. De andere gegevens zijn altijd een variatie van

Mozilla / 4.0 (compatibel; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... maar soms MSIE 6.0 in plaats van 7, en verschillende andere plug-ins. De browser is elke keer anders, net als de bits van de laagste orde van het adres.

En het is alleen dat. Eén hit per week of zo, naar die ene pagina. Absoluut geen andere pagina's worden aangeraakt door deze mysterieuze bezoeker.

Doet een whois op dat IP-adres bleek dat het uit de regio New York komt, en uit de "Websense" ISP. De 8 bits van het laagste adres van het adres variëren, maar dat zijn ze altijd van 208.80.194.0/ 24 subnet.

Van de meeste computers die ik gebruik om toegang te krijgen tot mijn website, doe ik een traceroute naar mijn server bevat nergens onderweg een router met het IP 208.80. *. Dus dat sluit elke vorm van HTTP-snuiven uit, zou ik denken.

Hoe en waarom gebeurt dit? Het lijkt volkomen goedaardig, maar onverklaarbaar en een beetje eng.


55
2018-04-04 22:57


oorsprong


Heel interessant; googlen voor FunWebProducts - het tweede resultaat is How do I uninstall Fun Web Products from my computer? - Mark Henderson♦
Ik hield van deze antwoorden, mijn eerste vraag zou zijn - ... ben jij het? - Louis
Ter informatie, laat een htaccess op de pagina achterwege waardoor het gebruikersnaam en wachtwoord vereist en websense het alleen nog een keer raakt voordat het wordt opgegeven - SpYk3HH
@ SpYk3HH - oké, bedankt! - B. VB.


antwoorden:


Websense? Websense houdt zich bezig met het classificeren van URL's en het zoeken naar 'stoute' dingen op internet. Hun producten verschijnen meestal in bedrijfsomgevingen.

Ik durf te wedden dat je je geheime pagina van HTTP hebt geopend van een bedrijf dat Websense heeft geïnstalleerd en dat ze de pagina automatisch hebben toegevoegd aan hun (vermoedelijk gigantische) lijst met pagina's om te controleren op porno, warez, forums, enz.

Wat de variërende kop betreft, ik vermoed dat hun robot allerlei mogelijke banners heeft om uit te kiezen en deze opzettelijk verandert om zichzelf te maskeren van de analyse en te doen alsof het geen bot is. Sterker nog, snel Google zoeken naar FunWebProducts websense alles behalve de theorie bevestigt.


89
2018-04-05 00:00



+1 omdat ik het gebruik van het woord gargantuan leuk vind :-) En omdat dit de meest waarschijnlijke reden is waarom dit gebeurt. - aseq
s/troll/trawl:-) - Matty
@Matty Goed punt ... Slepend vissen is ergens op jagen, trawlvliegen sleept ervoor ... - Jeff Ferland
@Matty Troll heeft als werkwoord ook de betekenis: zoeken, kijken, jagen. Afgeleid van de visserijtechniek. - Plutor
En deze pagina is al het tweede Google-resultaat voor 'FunWebProducts websense' - Ben Brocka


Het IP-adresbereik behoort toe Websense. U kunt een van hun producten laten draaien.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

18
2018-04-04 23:55