No meu site, tenho uma página "oculta" que exibe uma lista dos visitantes mais recentes. Não existem links para essa única página PHP e, teoricamente, apenas eu sei de sua existência. Verifico várias vezes por dia para ver quais novos hits tenho.
No entanto, cerca de uma vez por semana, recebo um resultado de um endereço 208.80.194. * Nesta página supostamente oculta (ele registra os resultados para si mesmo). O estranho é o seguinte: esta pessoa misteriosa / bot não visita nenhuma outra página no meu site. Não são as páginas públicas do PHP, mas apenas esta página oculta que imprime os visitantes . É sempre um único hit, e o HTTP_REFERER está em branco. Os outros dados são sempre alguma variação de
Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)
... mas às vezes em MSIE 6.0
vez de 7 e vários outros plug-ins. O navegador é sempre diferente, como nos bits de ordem mais baixa do endereço.
E é só isso. Um hit por semana, aproximadamente, para aquela página. Absolutamente nenhuma outra página é tocada por este visitante misterioso.
Fazer um whois
nesse endereço IP mostrou que é da área de Nova York e do ISP "Websense". A ordem mais baixa de 8 bits do endereço varia, mas eles sempre são da sub-rede 208.80.194.0 / 24 .
Na maioria dos computadores que eu uso para acessar meu site, fazer um traceroute
para o meu servidor não contém um roteador em nenhum lugar do caminho com o IP 208.80. *. Então isso exclui qualquer tipo de sniffing HTTP, eu poderia pensar.
Como e por que isso está acontecendo? Parece completamente benigno, mas inexplicável e um pouco assustador.
FunWebProducts
- o segundo resultado éHow do I uninstall Fun Web Products from my computer?
Respostas:
Websense? A Websense está classificando URLs e procurando coisas "impertinentes" na Internet. Seus produtos geralmente aparecem em ambientes corporativos.
Aposto que você acessou sua página secreta de HTTP de uma empresa que possui o Websense instalado e eles adicionaram a página automaticamente à sua lista (presumivelmente gigantesca) de páginas para verificar se há pornografia, warez, fóruns etc.
Quanto ao cabeçalho variável, acho que o robô deles tem todos os tipos de banners possíveis para escolher, intencionalmente os modifica para ocultar a análise e fingir que não é um bot. De fato, uma rápida pesquisa no Google de FunWebProducts websense praticamente confirma a teoria.
fonte
s/troll/trawl
:-)O intervalo de endereços IP pertence ao Websense . Você pode ter um produto deles em execução.
fonte