Visitante misterioso da página PHP oculta

56

No meu site, tenho uma página "oculta" que exibe uma lista dos visitantes mais recentes. Não existem links para essa única página PHP e, teoricamente, apenas eu sei de sua existência. Verifico várias vezes por dia para ver quais novos hits tenho.

No entanto, cerca de uma vez por semana, recebo um resultado de um endereço 208.80.194. * Nesta página supostamente oculta (ele registra os resultados para si mesmo). O estranho é o seguinte: esta pessoa misteriosa / bot não visita nenhuma outra página no meu site. Não são as páginas públicas do PHP, mas apenas esta página oculta que imprime os visitantes . É sempre um único hit, e o HTTP_REFERER está em branco. Os outros dados são sempre alguma variação de

Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... mas às vezes em MSIE 6.0vez de 7 e vários outros plug-ins. O navegador é sempre diferente, como nos bits de ordem mais baixa do endereço.

E é só isso. Um hit por semana, aproximadamente, para aquela página. Absolutamente nenhuma outra página é tocada por este visitante misterioso.

Fazer um whoisnesse endereço IP mostrou que é da área de Nova York e do ISP "Websense". A ordem mais baixa de 8 bits do endereço varia, mas eles sempre são da sub-rede 208.80.194.0 / 24 .

Na maioria dos computadores que eu uso para acessar meu site, fazer um traceroutepara o meu servidor não contém um roteador em nenhum lugar do caminho com o IP 208.80. *. Então isso exclui qualquer tipo de sniffing HTTP, eu poderia pensar.

Como e por que isso está acontecendo? Parece completamente benigno, mas inexplicável e um pouco assustador.

Bill VB
fonte
11
Muito interessante; pesquisando no Google FunWebProducts- o segundo resultado éHow do I uninstall Fun Web Products from my computer?
Mark Henderson
3
Amando essas respostas, minha primeira pergunta seria - ... é você?
Louis
11
FYI, soltar um htaccess na página fazendo com que requerem nome de usuário e passar e Websense só vai batê-lo mais uma vez antes de dar-se
SpYk3HH

Respostas:

90

Websense? A Websense está classificando URLs e procurando coisas "impertinentes" na Internet. Seus produtos geralmente aparecem em ambientes corporativos.

Aposto que você acessou sua página secreta de HTTP de uma empresa que possui o Websense instalado e eles adicionaram a página automaticamente à sua lista (presumivelmente gigantesca) de páginas para verificar se há pornografia, warez, fóruns etc.

Quanto ao cabeçalho variável, acho que o robô deles tem todos os tipos de banners possíveis para escolher, intencionalmente os modifica para ocultar a análise e fingir que não é um bot. De fato, uma rápida pesquisa no Google de FunWebProducts websense praticamente confirma a teoria.

Jeff Ferland
fonte
7
+1 porque eu gosto do uso da palavra gigantesco :-) E porque é a razão mais provável pela qual isso acontece.
aseq
11
s/troll/trawl:-)
Matty
3
@Matty Bom ponto ... corrico é isca para alguma coisa, a pesca de arrasto está arrastando para ele ...
Jeff Ferland
2
@ Matty Troll como verbo também tem o significado: pesquisar, olhar, espreitar. Derivado da técnica de pesca.
Plutor
11
E esta página já é o segundo resultado no Google por "FunWebProducts websense"
Ben Brocka
18

O intervalo de endereços IP pertence ao Websense . Você pode ter um produto deles em execução.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
Raffael Luthiger
fonte