Mystérieux visiteur de la page PHP masquée

56

Sur mon site Web, j'ai une page "cachée" qui affiche une liste des visiteurs les plus récents. Il n’existe aucun lien vers cette page PHP unique et, théoriquement, je ne connais que son existence. Je le vérifie plusieurs fois par jour pour voir quels sont mes nouveaux hits.

Cependant, environ une fois par semaine, je reçois un hit d'une adresse 208.80.194. * Sur cette page soi-disant cachée (elle enregistre ses hits). La chose étrange est la suivante: cette personne / bot mystérieuse ne visite aucune autre page de mon site. Pas les pages PHP publiques, mais seulement cette page cachée qui imprime les visiteurs . C'est toujours un simple hit et HTTP_REFERER est vide. Les autres données sont toujours une variante de

Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... mais parfois MSIE 6.0au lieu de 7, et divers autres plug-ins. Le navigateur est différent à chaque fois, comme pour les bits de poids faible de l'adresse.

Et c'est juste ça. Un hit par semaine environ, à cette page. Absolument aucune autre page n'est touchée par ce visiteur mystérieux.

Faire une whoisadresse IP montrait que cela venait de la région de New York et du FAI "Websense". Les 8 bits de l’ordre le plus bas de l’adresse varient, mais ils appartiennent toujours au sous - réseau 208.80.194.0 / 24 .

Sur la plupart des ordinateurs que j'utilise pour accéder à mon site Web, l'envoi traceroutesur mon serveur ne contient aucun routeur en cours de route avec l'IP 208.80. *. Donc, cela pourrait exclure toute forme de détection HTTP.

Comment et pourquoi cela se passe-t-il? Cela semble complètement bénin, mais inexplicable et un peu effrayant.

Bill VB
la source
11
Très intéressant; googler FunWebProducts- le deuxième résultat estHow do I uninstall Fun Web Products from my computer?
Mark Henderson
3
Aimant ces réponses, ma première question allait être - ... est-ce vous?
Louis
1
Pour votre information, déposez un htaccess sur la page, ce qui nécessitera un nom d'utilisateur et un mot de passe. Websense ne l'utilisera qu'une fois de plus avant de l'abandonner
SpYk3HH

Réponses:

90

Websense? Websense est en train de classer les URL et de rechercher des choses "coquines" sur Internet. Leurs produits apparaissent généralement dans les environnements d'entreprise.

Je parierais que vous avez accédé à votre page secrète HTTP à partir d’une société qui a Websense installé et qui l’a automatiquement ajoutée à sa liste (probablement gigantesque) de pages à surveiller pour rechercher des contenus pornographiques, warez, forums, etc.

En ce qui concerne les en-têtes variés, je suppose que leur robot a toutes sortes de bannières à choisir parmi celles qui sont intentionnellement modifiées pour se masquer de l'analyse et prétendre que ce n'est pas un bot. En fait, une recherche rapide dans FunWebProducts Websense sur Google confirme la théorie.

Jeff Ferland
la source
7
+1 parce que j'aime bien utiliser le mot gargantuesque :-) et que c'est la raison la plus probable pour laquelle cela se produit.
Assek
1
s/troll/trawl:-)
Matty
3
@Matty Bon point ... la pêche à la traîne, c'est quelque chose que le chalutage traîne ...
Jeff Ferland
2
@Matty Troll en tant que verbe a également la signification suivante: rechercher, regarder, rôder. Dérivé de la technique de pêche.
Plutor
1
Et cette page est déjà le deuxième résultat de Google pour "FunWebProducts websense"
Ben Brocka
18

La plage d'adresses IP appartient à Websense . Vous pouvez avoir un de leurs produits en cours d'exécution.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
Raffael Luthiger
la source