Bil*_* VB 56 security forensics
在我的网站上,我有一个“隐藏”页面,显示最近访问者的列表。这个单一的 PHP 页面根本不存在任何链接,而且理论上只有我知道它的存在。我每天检查它很多次,看看我有什么新的点击。
然而,大约每周一次,我在这个据称是隐藏的页面上从 208.80.194.* 地址得到一个点击(它记录了对自己的点击)。奇怪的是:这个神秘的人/机器人没有访问我网站上的任何其他页面。不是公共 PHP 页面,而只是打印访问者的隐藏页面。它总是单次命中,并且 HTTP_REFERER 为空。其他数据总是一些变化
Mozilla/4.0(兼容;MSIE 7.0;Windows NT 5.1;YPC 3.2.0;FunWebProducts;.NET CLR 1.1.4322;SpamBlockerUtility 4.8.4;yplus 5.1.04b)
...但有时MSIE 6.0不是 7,还有其他各种插件。浏览器每次都不同,就像地址的最低位一样。
仅此而已。每周一次左右,到那一页。这个神秘的访客绝对没有触及其他页面。
whois在那个 IP 地址上做一个显示它来自纽约地区,来自“Websense”ISP。地址的最低 8 位有所不同,但它们始终来自 208.80.194.0 /24子网。
从我用来访问我的网站的大多数计算机中,traceroute对我的服务器执行的操作不包含 IP 为 208.80.* 的路由器。所以这排除了任何类型的 HTTP 嗅探,我可能认为。
这是如何以及为什么发生的?这似乎完全是良性的,但无法解释,有点令人毛骨悚然。
Jef*_*and 90
网络感知?Websense 致力于对 URL 进行分类并在 Internet 上寻找“顽皮”的东西。他们的产品通常出现在企业环境中。
我敢打赌,您从一家安装了 Websense 的公司访问了您的 HTTP 秘密页面,他们会自动将该页面添加到他们的(大概是庞大的)页面列表中,以便对色情、软件、论坛等进行巨魔检查。
至于不同的标题,我猜他们的机器人有各种可能的横幅可供选择,故意改变它们以从分析中掩盖自己并假装它不是机器人。事实上,在Google 上快速搜索 FunWebProducts websense几乎证实了这个理论。
Raf*_*ger 18
IP 地址范围属于Websense。您可能正在运行他们的产品之一。
$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]
NetRange: 208.80.192.0 - 208.80.199.255
CIDR: 208.80.192.0/21
OriginAS: AS13448
NetName: WEBSENSE-NET2
NetHandle: NET-208-80-192-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Assignment
RegDate: 2007-07-25
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-208-80-192-0-1
| 归档时间: |
|
| 查看次数: |
3051 次 |
| 最近记录: |