Gizemli PHP Gizli Sayfasına Ziyaretçiler

56

Web sitemde en son ziyaretçilerin listesini görüntüleyen "gizli" bir sayfam var. Bu tek PHP sayfasına hiçbir bağlantı yoktur ve teorik olarak sadece varlığını biliyorum. Hangi yeni vuruşlara sahip olduğumu görmek için günde birçok kez kontrol ediyorum.

Ancak, haftada yaklaşık bir kez, sözde gizli olan bu sayfadaki 208.80.194. * Adresinden bir hit alıyorum (isabetleri kendine kaydeder). Garip olan şudur: bu gizemli kişi / bot yok değil ziyaret herhangi sitemde diğer sayfa. Genel PHP sayfaları değil, yalnızca ziyaretçileri basan bu gizli sayfa . Her zaman tek bir vuruştur ve HTTP_REFERER boştur. Diğer veriler her zaman bazı varyasyonları

Mozilla / 4.0 (uyumlu; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... ama bazen MSIE 6.07 yerine ve diğer çeşitli eklentiler yerine. Tarayıcı, adresin en düşük dereceli bitlerinde olduğu gibi her seferinde farklıdır.

Ve bu sadece bu. Haftada bir kere, yani bir sayfaya. Kesinlikle bu gizemli ziyaretçi tarafından başka sayfalara dokunulmaz.

Bir yaparak whoisbu IP adresine New York bölgesinden, ve "Websense" ISP den gösterdi. Adresin 8 bitlik sırası değişebilir, ancak bunlar her zaman 208.80.194.0 / 24 alt ağından gelir .

Web siteme erişmek için kullandığım bilgisayarların çoğundan, traceroutesunucuma bir yapmak, IP 208.80 ile birlikte hiçbir yerde yönlendirici içermiyor. *. Bu yüzden her türlü HTTP koklama işini yasaklar diye düşünüyorum.

Bu nasıl ve neden oluyor? Tamamen iyi huylu görünüyor ama açıklanamaz ve biraz ürpertici.

security  forensics 
Bill VB
kaynak
11
Çok ilginç; googling FunWebProducts- ikinci sonuçHow do I uninstall Fun Web Products from my computer?
Mark Henderson
3
Bu cevapları sevmek, ilk sorum olacaktı - ... sen misin?
Louis
1
Bilginize, kullanıcı adı ve paso gerektirmesi için sayfaya bir htaccess bırakın ve websense vazgeçmeden önce sadece bir kez daha vurur
SpYk3HH

Yanıtlar:

90

Websense? Websense, URL’leri sınıflandırma ve Internet’te “yaramaz” şeyler arama işinde. Ürünleri genellikle kurumsal ortamlarda ortaya çıkar.

Bahse girerim, HTTP gizli sayfanıza Websense yüklü bir şirketten eriştiğiniz ve porno, warez, forumlar vb. İçin troll denetimi yapan sayfaları otomatik olarak ekledikleri sayfalar listesine eklediklerine bahse girerim.

Değişen başlığa gelince, robotlarının kasıtlı olarak seçebilecekleri her türlü olası pankartı olduğunu tahmin ediyorum, analizden kendini maskelemek ve bir bot olmadığını iddia etmek gibi. Aslında, FunWebProducts'ın hızlı bir Google araması, websense’i websense’e ekler ancak teoriyi doğrular.

Jeff Ferland
kaynak
7
+1, çünkü gargantuan kelimesinin kullanılmasından hoşlanıyorum :-) Ve bunun olmasının en olası nedeni bu.
aseq
1
s/troll/trawl:-)
Matty
3
@Matty İyi nokta ... trolling bir şey için can atıyor, trol onun için sürüklüyor ...
Jeff Ferland
2
Bir fiil olarak @Matty Troll da anlamı vardır: arama, bak, prowl. Balıkçılık tekniğinden elde edilmiştir.
Plutor,
1
Ve bu sayfa zaten "FunWebProducts websense" için ikinci Google sonucudur
Ben
18

IP adres aralığı Websense’e aittir . Ürünlerinden birini çalışıyor olabilir.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
Raffael Luthiger
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.