Geheimnisvoller Besucher einer versteckten PHP-Seite

56

Auf meiner Website habe ich eine "versteckte" Seite, die eine Liste der neuesten Besucher anzeigt. Es gibt überhaupt keine Links zu dieser einzelnen PHP-Seite, und theoretisch weiß nur ich von ihrer Existenz. Ich überprüfe es mehrmals täglich, um zu sehen, welche neuen Hits ich habe.

Ungefähr einmal pro Woche erhalte ich jedoch einen Treffer von einer 208.80.194. * -Adresse auf dieser angeblich verborgenen Seite (sie zeichnet Treffer für sich selbst auf). Das Merkwürdige ist dies: diese mysteriöse Person / bietet sich nicht besucht jede andere Seite auf meiner Website. Nicht die öffentlichen PHP-Seiten, sondern nur diese versteckte Seite, die die Besucher druckt . Es ist immer ein einzelner Treffer und der HTTP_REFERER ist leer. Bei den anderen Daten handelt es sich immer um eine Variation von

Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... aber manchmal MSIE 6.0statt 7 und verschiedene andere Plugins. Der Browser ist jedes Mal anders als bei den niedrigstwertigen Bits der Adresse.

Und es ist nur so. Ein Treffer pro Woche oder so zu dieser einen Seite. Absolut keine anderen Seiten werden von diesem mysteriösen Besucher berührt.

Bei der whoisEingabe dieser IP-Adresse wurde festgestellt, dass sie aus dem Raum New York stammt und vom "Websense" -ISP stammt. Die niedrigsten 8-Bit-Adressen variieren, stammen jedoch immer aus dem Subnetz 208.80.194.0 / 24 .

Von den meisten Computern, die ich für den Zugriff auf meine Website verwende, tracerouteenthält die Ausführung von a auf meinem Server unterwegs keinen Router mit der IP 208.80. *. Ich denke, das schließt jede Art von HTTP-Sniffing aus.

Wie und warum passiert das? Es scheint völlig harmlos, aber unerklärlich und ein bisschen gruselig.

security forensics Bill VB
quelle
11
Sehr interessant; googeln FunWebProducts- das zweite Ergebnis istHow do I uninstall Fun Web Products from my computer?
Mark Henderson
3
Von diesen Antworten begeistert, war meine erste Frage - ... bist du es?
Louis
1
Zu Ihrer Information, schreiben Sie einen htaccess auf die Seite, der dazu führt, dass Benutzername und Passwort erforderlich sind, und websense schlägt nur noch einmal zu, bevor es aufgegeben wird
SpYk3HH

Antworten:

90

Websense? Websense befasst sich mit der Klassifizierung von URLs und der Suche nach "bösen" Dingen im Internet. Ihre Produkte werden normalerweise in Unternehmensumgebungen gezeigt.

Ich wette, Sie haben auf Ihre geheime HTTP-Seite von einer Firma zugegriffen, die Websense installiert hat, und sie haben die Seite automatisch zu ihrer (vermutlich gigantischen) Liste von Seiten hinzugefügt, um nach Pornos, Warez, Foren usw. zu suchen.

In Bezug auf den variierenden Header schätze ich, dass ihr Roboter alle möglichen Banner zur Auswahl hat, um sie absichtlich zu ändern, um sich vor der Analyse zu maskieren und so zu tun, als wäre es kein Bot. Tatsächlich bestätigt eine schnelle Google-Suche in FunWebProducts websense die Theorie so gut wie.

Jeff Ferland
quelle
7
+1, weil ich das Wort gigantisch mag :-) Und weil es der wahrscheinlichste Grund dafür ist.
Aseq
1
s/troll/trawl:-)
Matty
3
@Matty Guter Punkt ... Trolling ist Köder für etwas, Schleppnetzfischerei zieht dafür ...
Jeff Ferland
2
@Matty Troll als Verb hat auch die Bedeutung: suchen, schauen, stöbern. Abgeleitet von der Fischereitechnik.
Plutor
1
Und diese Seite ist bereits das zweite Google-Ergebnis für "FunWebProducts websense"
Ben Brocka
18

Der IP-Adressbereich gehört zu Websense . Möglicherweise läuft eines ihrer Produkte.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
Raffael Luthiger
quelle