Auf meiner Website habe ich eine "versteckte" Seite, die eine Liste der neuesten Besucher anzeigt. Es gibt überhaupt keine Links zu dieser einzelnen PHP-Seite, und theoretisch weiß nur ich von ihrer Existenz. Ich überprüfe es mehrmals täglich, um zu sehen, welche neuen Hits ich habe.
Ungefähr einmal pro Woche erhalte ich jedoch einen Treffer von einer 208.80.194. * -Adresse auf dieser angeblich verborgenen Seite (sie zeichnet Treffer für sich selbst auf). Das Merkwürdige ist dies: diese mysteriöse Person / bietet sich nicht besucht jede andere Seite auf meiner Website. Nicht die öffentlichen PHP-Seiten, sondern nur diese versteckte Seite, die die Besucher druckt . Es ist immer ein einzelner Treffer und der HTTP_REFERER ist leer. Bei den anderen Daten handelt es sich immer um eine Variation von
Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)
... aber manchmal MSIE 6.0
statt 7 und verschiedene andere Plugins. Der Browser ist jedes Mal anders als bei den niedrigstwertigen Bits der Adresse.
Und es ist nur so. Ein Treffer pro Woche oder so zu dieser einen Seite. Absolut keine anderen Seiten werden von diesem mysteriösen Besucher berührt.
Bei der whois
Eingabe dieser IP-Adresse wurde festgestellt, dass sie aus dem Raum New York stammt und vom "Websense" -ISP stammt. Die niedrigsten 8-Bit-Adressen variieren, stammen jedoch immer aus dem Subnetz 208.80.194.0 / 24 .
Von den meisten Computern, die ich für den Zugriff auf meine Website verwende, traceroute
enthält die Ausführung von a auf meinem Server unterwegs keinen Router mit der IP 208.80. *. Ich denke, das schließt jede Art von HTTP-Sniffing aus.
Wie und warum passiert das? Es scheint völlig harmlos, aber unerklärlich und ein bisschen gruselig.
FunWebProducts
- das zweite Ergebnis istHow do I uninstall Fun Web Products from my computer?
Antworten:
Websense? Websense befasst sich mit der Klassifizierung von URLs und der Suche nach "bösen" Dingen im Internet. Ihre Produkte werden normalerweise in Unternehmensumgebungen gezeigt.
Ich wette, Sie haben auf Ihre geheime HTTP-Seite von einer Firma zugegriffen, die Websense installiert hat, und sie haben die Seite automatisch zu ihrer (vermutlich gigantischen) Liste von Seiten hinzugefügt, um nach Pornos, Warez, Foren usw. zu suchen.
In Bezug auf den variierenden Header schätze ich, dass ihr Roboter alle möglichen Banner zur Auswahl hat, um sie absichtlich zu ändern, um sich vor der Analyse zu maskieren und so zu tun, als wäre es kein Bot. Tatsächlich bestätigt eine schnelle Google-Suche in FunWebProducts websense die Theorie so gut wie.
quelle
s/troll/trawl
:-)Der IP-Adressbereich gehört zu Websense . Möglicherweise läuft eines ihrer Produkte.
quelle