ผู้เยี่ยมชมลึกลับไปยังหน้า PHP ที่ซ่อนอยู่

ในเว็บไซต์ของฉันฉันมีหน้า "ซ่อน" ที่แสดงรายการผู้เข้าชมล่าสุด ไม่มีลิงก์ไปยังหน้า PHP เดี่ยวนี้และตามหลักวิชาแล้วฉันรู้ว่ามันมีอยู่จริง ฉันตรวจสอบหลายครั้งต่อวันเพื่อดูว่าฉันมีเพลงใหม่

อย่างไรก็ตามประมาณสัปดาห์ละครั้งฉันได้รับผลกระทบจากที่อยู่ 208.80.194. * ในหน้านี้ที่ซ่อนอยู่ซึ่งคาดคะเนได้ สิ่งที่แปลกคือ: ลึกลับคน / บอทไม่ได้เข้าชมใด ๆอื่น ๆ หน้าเว็บไซต์ของฉัน ไม่ได้หน้า PHP สาธารณะ แต่เพียงหน้าซ่อนนี้ที่พิมพ์ผู้เข้าชม มันเป็นเพลงยอดฮิตและ HTTP_REFERER ว่างเปล่า ข้อมูลอื่น ๆ มีการเปลี่ยนแปลงอยู่เสมอ

Mozilla / 4.0 (ใช้งานได้; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... แต่บางครั้งMSIE 6.0แทนที่จะเป็น 7 และปลั๊กอินอื่น ๆ อีกมากมาย เบราว์เซอร์จะแตกต่างกันทุกครั้งเช่นเดียวกับบิตลำดับต่ำสุดของที่อยู่

และมันก็เป็นเช่นนั้น หนึ่งครั้งต่อสัปดาห์หรือมากกว่านั้นในหนึ่งหน้า ผู้เข้าชมลึกลับคนนี้ไม่ได้แตะหน้าอื่นใดเลย

การทำwhoisที่อยู่ IP นั้นแสดงว่ามาจากพื้นที่นิวยอร์กและจาก ISP "Websense" ลำดับที่อยู่ต่ำสุด 8 บิตจะแตกต่างกันไป แต่พวกมันจะมาจากซับเน็ต208.80.194.0 / 24เสมอ

จากคอมพิวเตอร์ส่วนใหญ่ที่ฉันใช้เพื่อเข้าถึงเว็บไซต์ของฉันการทำ a tracerouteไปยังเซิร์ฟเวอร์ของฉันไม่มีเราเตอร์ที่ใดก็ได้ระหว่างทางด้วย IP 208.80. * ดังนั้นกฎที่ออก HTTP ดมกลิ่นชนิดใดฉันอาจคิดว่า

เกิดอะไรขึ้นและทำไม? ดูเหมือนอ่อนโยนอย่างสมบูรณ์ แต่อธิบายไม่ได้และน่าขนลุกเล็กน้อย

security forensics

— บิล VB
แหล่งที่มา

น่าสนใจมาก; googling for FunWebProducts- ผลลัพธ์ที่สองคือHow do I uninstall Fun Web Products from my computer?

— Mark Henderson

ด้วยความรักเหล่านี้คำตอบคำถามแรกของฉันจะเป็น - คุณเป็นอย่างไร

— หลุยส์

FYI, วาง htaccess บนหน้าทำให้ต้องใช้ชื่อผู้ใช้และรหัสผ่านและ websense จะกดมันอีกครั้งก่อนที่จะยอมแพ้

— SpYk3HH

คำตอบ:

Websense? Websense อยู่ในธุรกิจการจำแนก URL และค้นหาสิ่งที่ "ซุกซน" บนอินเทอร์เน็ต ผลิตภัณฑ์ของพวกเขามักจะปรากฏในสภาพแวดล้อมขององค์กร

ฉันพนันได้เลยว่าคุณเข้าถึงหน้าลับของ HTTP จาก บริษัท ที่มีการติดตั้ง Websense และพวกเขาจะเพิ่มหน้านั้นลงในรายการของหน้าเว็บ (น่าจะเป็นใหญ่มาก) เพื่อทำการตรวจสอบภาพอนาจาร warez ฟอรัม ฯลฯ

สำหรับส่วนหัวที่แตกต่างกันฉันเดาว่าหุ่นยนต์ของพวกเขามีแบนเนอร์ที่เป็นไปได้ทุกแบบให้เลือกจากการเปลี่ยนแปลงโดยเจตนาเพื่อปกปิดตัวเองจากการวิเคราะห์และแกล้งทำเป็นว่าไม่ใช่บอท อันที่จริงแล้วการค้นหาเว็บของ FunWebProductsอย่างรวดเร็วของ Googleแต่ยืนยันทฤษฎี

— Jeff Ferland
แหล่งที่มา

+1 เพราะฉันชอบการใช้คำว่า gargantuan :-) และเพราะมันเป็นสาเหตุที่เป็นไปได้มากที่สุดว่าทำไมสิ่งนี้จึงเกิดขึ้น

— aseq

s/troll/trawl:-)

— Matty

@Matty จุดดี ... หลอกเป็นเหยื่อสำหรับบางสิ่งบางอย่างสืบค้นลากมัน ...

— เจฟเฟอร์แลนด์

@Matty Troll เป็นคำกริยายังมีความหมาย: ค้นหาดูด้อม ๆ มอง ๆ มาจากเทคนิคการตกปลา

— พลูโต

และหน้านี้เป็นผลการค้นหา Google ครั้งที่สองสำหรับ "FunWebProducts websense"

— Ben Brocka

ช่วงที่อยู่ IP เป็นของWebsense คุณอาจมีหนึ่งในผลิตภัณฑ์ของพวกเขาทำงานอยู่

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

— Raffael Luthiger
แหล่งที่มา