Misterioso visitante da página oculta do PHP

Navegue suas respostas
55

No meu site, tenho uma página "oculta" que exibe uma lista dos visitantes mais recentes. Não existem links para esta única página PHP e, teoricamente, só eu sei de sua existência. Eu verifico várias vezes por dia para ver quais novos acessos eu tenho.

No entanto, cerca de uma vez por semana, recebo um hit de um endereço 208.80.194. * nesta página supostamente oculta (grava ocorrências para si mesmo). O estranho é que: essa pessoa / bot misteriosa não visita qualquer outra página no meu site. Não as páginas públicas do PHP, mas somente esta página oculta que imprime os visitantes . É sempre um único hit, e o HTTP_REFERER está em branco. Os outros dados são sempre alguma variação de

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... mas às vezes MSIE 6.0 em vez de 7 e vários outros plug ins. O navegador é diferente a cada vez, como nos bits de menor ordem do endereço.

E é só isso. Um hit por semana ou mais, para essa página. Absolutamente nenhuma outra página é tocada por esse misterioso visitante.

Fazer um whois nesse endereço IP mostrou que ele é da área de Nova York e do ISP "Websense". Os 8 bits de menor ordem do endereço variam, mas eles são sempre da / 24 <208.80.194.0 sub-rede.

Na maioria dos computadores que uso para acessar meu site, fazer um traceroute no meu servidor não contém um roteador em qualquer lugar ao longo do caminho com o IP 208.80. *. Então, isso exclui qualquer tipo de detecção de HTTP, eu acho.

Como e por que isso está acontecendo? Parece completamente benigno, mas inexplicável e um pouco assustador.

    
por B. VB. 05.04.2012 / 00:57

2 respostas

89

Websense? A Websense está no negócio de classificar URLs e procurar por coisas "impertinentes" na Internet. Seus produtos geralmente aparecem em ambientes corporativos.

Eu aposto que você acessou sua página secreta de HTTP de uma empresa que tem o Websense instalado e eles automaticamente adicionaram a página à sua (presumivelmente gigantesca) lista de páginas para vasculhar pornografia, warez, fóruns, etc.

Quanto ao cabeçalho variável, acredito que o robô deles tem todos os tipos de banners possíveis para escolher, a partir de uma alteração intencional para disfarçar a análise e fingir que não é um bot. Na verdade, uma rápida pesquisa no Google do FunWebProducts websense praticamente confirma a teoria.

    
por 05.04.2012 / 02:00
18

O intervalo de endereços IP pertence a Websense . Você pode ter um de seus produtos em execução. 

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
    
por 05.04.2012 / 01:55
Qual é a diferença entre apt-get e aptitude? A UPS vale a pena para equipamentos que não sejam de produção? [fechadas]