Sur mon site Web, j'ai une page "cachée" qui affiche une liste des visiteurs les plus récents. Il n’existe aucun lien vers cette page PHP unique et, théoriquement, je ne connais que son existence. Je le vérifie plusieurs fois par jour pour voir quels sont mes nouveaux hits.
Cependant, environ une fois par semaine, je reçois un hit d'une adresse 208.80.194. * Sur cette page soi-disant cachée (elle enregistre ses hits). La chose étrange est la suivante: cette personne / bot mystérieuse ne visite aucune autre page de mon site. Pas les pages PHP publiques, mais seulement cette page cachée qui imprime les visiteurs . C'est toujours un simple hit et HTTP_REFERER est vide. Les autres données sont toujours une variante de
Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)
... mais parfois MSIE 6.0
au lieu de 7, et divers autres plug-ins. Le navigateur est différent à chaque fois, comme pour les bits de poids faible de l'adresse.
Et c'est juste ça. Un hit par semaine environ, à cette page. Absolument aucune autre page n'est touchée par ce visiteur mystérieux.
Faire une whois
adresse IP montrait que cela venait de la région de New York et du FAI "Websense". Les 8 bits de l’ordre le plus bas de l’adresse varient, mais ils appartiennent toujours au sous - réseau 208.80.194.0 / 24 .
Sur la plupart des ordinateurs que j'utilise pour accéder à mon site Web, l'envoi traceroute
sur mon serveur ne contient aucun routeur en cours de route avec l'IP 208.80. *. Donc, cela pourrait exclure toute forme de détection HTTP.
Comment et pourquoi cela se passe-t-il? Cela semble complètement bénin, mais inexplicable et un peu effrayant.
FunWebProducts
- le deuxième résultat estHow do I uninstall Fun Web Products from my computer?
Réponses:
Websense? Websense est en train de classer les URL et de rechercher des choses "coquines" sur Internet. Leurs produits apparaissent généralement dans les environnements d'entreprise.
Je parierais que vous avez accédé à votre page secrète HTTP à partir d’une société qui a Websense installé et qui l’a automatiquement ajoutée à sa liste (probablement gigantesque) de pages à surveiller pour rechercher des contenus pornographiques, warez, forums, etc.
En ce qui concerne les en-têtes variés, je suppose que leur robot a toutes sortes de bannières à choisir parmi celles qui sont intentionnellement modifiées pour se masquer de l'analyse et prétendre que ce n'est pas un bot. En fait, une recherche rapide dans FunWebProducts Websense sur Google confirme la théorie.
la source
s/troll/trawl
:-)La plage d'adresses IP appartient à Websense . Vous pouvez avoir un de leurs produits en cours d'exécution.
la source