在我的网站上,我有一个“隐藏”页面,显示最近访客的列表。这个 PHP 页面没有任何链接,理论上只有我知道它的存在。我每天多次检查它,看看有什么新内容。
然而,大约每周一次,我会从 208.80.194.* 地址访问这个据称是隐藏的页面(它会记录对自身的访问)。奇怪的是:这个神秘的人/机器人确实不是访问任何我网站上的其他页面。不是公共 PHP 页面,而是仅有的这个隐藏页面会打印访客。它始终是单个命中,并且 HTTP_REFERER 为空。其他数据始终是
Mozilla/4.0(兼容;MSIE 7.0;Windows NT 5.1;YPC 3.2.0;FunWebProducts;.NET CLR 1.1.4322;SpamBlockerUtility 4.8.4;yplus 5.1.04b)
...但有时MSIE 6.0会代替 7,以及各种其他插件。浏览器每次都不同,就像地址的最低位一样。
就是这样。每周只有一次点击,只针对一个页面。其他页面绝对不会被这个神秘访客触碰。
对该 IP 地址进行测试,whois结果显示它来自纽约地区,来自“Websense”ISP。地址的最低 8 位各不相同,但它们是总是来自 208.80.194.0/24子网。
在我用来访问我网站的大多数电脑上,traceroute我的服务器在路径上不包含 IP 为 208.80.* 的路由器。因此,我认为这排除了任何类型的 HTTP 嗅探。
这是怎么发生的?为什么会发生?这看起来完全是无害的,但却无法解释,而且有点令人毛骨悚然。
答案1
Websense?Websense 的业务是分类 URL 并查找互联网上的“不良”内容。他们的产品通常出现在企业环境中。
我敢打赌,你从安装了 Websense 的公司访问了你的 HTTP 秘密页面,他们会自动将该页面添加到他们的(可能非常庞大的)页面列表中,以检查是否存在色情内容、盗版软件、论坛等。
至于不同的标题,我猜他们的机器人有各种各样的横幅可供选择,并故意改变它们以掩盖自己不被分析,假装它不是机器人。事实上,快速Google 搜索 FunWebProducts websense几乎证实了这一理论。
答案2
IP 地址范围属于Websense。您可能正在运行他们的某款产品。
$ whois 208.80.194.0
[Querying whois.arin.net]
[whois.arin.net]
NetRange: 208.80.192.0 - 208.80.199.255
CIDR: 208.80.192.0/21
OriginAS: AS13448
NetName: WEBSENSE-NET2
NetHandle: NET-208-80-192-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Assignment
RegDate: 2007-07-25
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-208-80-192-0-1