Visitante misterioso a la página oculta de PHP

En mi sitio web, tengo una página "oculta" que muestra una lista de los visitantes más recientes. No existen enlaces en absoluto para esta única página PHP y, en teoría, solo yo sé de su existencia. Lo reviso muchas veces al día para ver qué nuevos éxitos tengo.

Sin embargo, aproximadamente una vez a la semana, recibo un hit de una dirección 208.80.194. * En esta página supuestamente oculta (registra hits para sí mismo). Lo extraño es esto: esta persona misteriosa / bot no visita ninguna otra página en mi sitio. No las páginas públicas de PHP, sino solo esta página oculta que imprime a los visitantes . Siempre es un solo golpe, y HTTP_REFERER está en blanco. Los otros datos son siempre alguna variación de

Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b)

... pero a veces en MSIE 6.0lugar de 7, y varios otros complementos. El navegador es diferente cada vez, como con los bits de orden más bajo de la dirección.

Y es solo eso. Un hit por semana más o menos, a esa página. Absolutamente ninguna otra página es tocada por este misterioso visitante.

Hacer una whoisen esa dirección IP mostró que es del área de Nueva York y del ISP "Websense". Los 8 bits de orden más bajo de la dirección varían, pero siempre provienen de la subred 208.80.194.0 / 24 .

Desde la mayoría de las computadoras que utilizo para acceder a mi sitio web, hacer un traceroutea mi servidor no contiene un enrutador en ninguna parte del camino con el IP 208.80. *. Así que eso descarta cualquier tipo de rastreo HTTP, podría pensar.

¿Cómo y por qué está pasando esto? Parece completamente benigno, pero inexplicable y un poco espeluznante.

security forensics

— Bill VB
fuente

Muy interesante; buscando en Google FunWebProducts- el segundo resultado esHow do I uninstall Fun Web Products from my computer?

— Mark Henderson

Amando estas respuestas, mi primera pregunta iba a ser ... ¿eres tú?

— Louis

Para su información, la caída de un .htaccess en la página haciendo que se requiere nombre de usuario y pasar websense y sólo lo golpeó una vez más antes de renunciar a ella

— SpYk3HH

Respuestas:

Websense? Websense está en el negocio de clasificar URL y buscar cosas "traviesas" en Internet. Sus productos suelen aparecer en entornos corporativos.

Apuesto a que accedió a su página secreta de HTTP de una compañía que tiene instalado Websense y agregaron automáticamente la página a su lista (presumiblemente gigantesca) de páginas para troll buscando pornografía, warez, foros, etc.

En cuanto al encabezado variable, supongo que su robot tiene todo tipo de posibles banners para elegir y los cambia intencionalmente para enmascararse del análisis y pretender que no es un bot. De hecho, una búsqueda rápida en Google de FunWebProducts websense confirma toda la teoría.

— Jeff Ferland
fuente

+1 porque me gusta el uso de la palabra gigantesco :-) Y porque es la razón más probable por la que sucede esto.

— aseq

s/troll/trawl:-)

— Matty

@Matty Buen punto ... el curricán está provocando algo, la pesca de arrastre lo está arrastrando ...

— Jeff Ferland

@Matty Troll como verbo también tiene el significado: buscar, mirar, merodear. Derivado de la técnica de pesca.

— Plutor

Y esta página ya es el segundo resultado de Google para "FunsebProducts websense"

— Ben Brocka

El rango de direcciones IP pertenece a Websense . Puede tener uno de sus productos en ejecución.

$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]

NetRange:       208.80.192.0 - 208.80.199.255
CIDR:           208.80.192.0/21
OriginAS:       AS13448
NetName:        WEBSENSE-NET2
NetHandle:      NET-208-80-192-0-1
Parent:         NET-208-0-0-0-0
NetType:        Direct Assignment
RegDate:        2007-07-25
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-208-80-192-0-1

— Raffael Luthiger
fuente