web-dev-qa-db-ja.com

隠された謎の訪問者PHPページ

私のウェブサイトには、最近の訪問者のリストを表示する「非表示」ページがあります。この単一のPHP=ページへのリンクはまったく存在しません。理論的には、その存在を知っているだけです。毎日何回もチェックして、新しいヒットを確認しています。

しかし、約1週間に1回、この非表示になっていると思われるページの208.80.194。*アドレスからヒットを受け取ります(ヒットはそれ自体に記録されます)。 奇妙なことはこれです:この謎の人物/ボットはしない訪問任意の他のページ私のサイトで。公開ではないPHPページではなく、のみ訪問者を印刷するこの非表示のページ。これは常に1つです。ヒットし、HTTP_REFERERは空白です。他のデータは常にいくつかのバリエーションです

Mozilla/4.0(互換性あり; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... でも時々 MSIE 6.0 7の代わりに、他のさまざまなプラグイン。ブラウザは、アドレスの最下位ビットと同様に、毎回異なります。

そして、それだけです。週に1回程度、その1ページにヒットします。この神秘的な訪問者が他のページに触れることは絶対にありません。

そのIPアドレスでwhoisを実行すると、それがニューヨークエリアからのものであり、「Websense」ISPからのものであることがわかりました。アドレスの最下位8ビットは異なりますが、208.80.194.0 / 24 サブネットから常にです。

私が私のWebサイトへのアクセスに使用するほとんどのコンピューターから、サーバーに対して traceroute を実行しても、IP 208.80。*の途中にルーターが含まれていません。そのため、あらゆる種類のHTTPスニッフィングが除外されると思います。

これはどのようにそしてなぜ起こっていますか?それは完全に無害であるように見えますが、説明がつかず、少し気味が悪いです。

56
Bill VB

Websense? Websenseは、URLを分類し、インターネット上で「いたずら」なものを探しています。彼らの製品は通常、企業環境に現れます。

Websenseがインストールされている会社からHTTPのシークレットページにアクセスし、そのページを(おそらく巨大な)ページのリストに自動的に追加して、ポルノ、ウェアーズ、フォーラムなどのトロールチェックを行ったと思います。

さまざまなヘッダーについては、ロボットにはあらゆる種類の可能なバナーがあり、意図的にそれらを変更して、分析からそれ自体をマスクし、ボットではないふりをしていると思います。実際、簡単な FunWebProducts websenseのGoogle検索 すべてが理論を裏付けています。

90
Jeff Ferland

IPアドレス範囲は Websense に属します。いずれかの製品を実行している可能性があります。

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1
18