Я пытаюсь отследить ошибку на поддерживаемом мной экстранет-сайте. Я просмотрел журналы и обнаружил, что обращения происходят с этих IP-адресов:
Network-tools.com предоставляет TREND MICRO INCORPORATED в качестве владельца всех этих IP-адресов.
Обращения не выполняются, поскольку они не отправляют файлы cookie (поэтому не считаются зарегистрированными). Обращения относятся к страницам, содержащим URL-адреса, которые увидит только вошедший в систему пользователь, т.е. ImageEdit.aspx?ImageId=467424. Т.е. сервер не угадывает эти URL-адреса, кому-то нужно будет войти на сайт, чтобы узнать, что эти URL-адреса существуют.
Теория: клиент Trend Antivirus захватывает URL-адреса и отправляет их на сервер для «дополнительной обработки»?
Поиск в Google дает мне следующее: http://www.forumpostersunion.com/showthread.php?p=51272 - где люди с этих адресов сообщают о спаме в комментариях. В статьях говорится, что их серверы были взломаны (несколько месяцев назад, по-видимому, исправлены сейчас?). Взломанный сервер не объяснил бы, как URL-адреса были взяты с компьютеров пользователей.
Кто-нибудь видел это раньше? Что-нибудь здесь происходит?
ОБНОВЛЕНИЕ: подробнее об этом здесь: Микротренд обманывает мою систему
Trend Micro сканирует веб-страницы на предмет угроз, основанных на том, что ищут пользователи. Это, плюс упреждающая проверка, сканирует несколько миллиардов страниц в день. Все хорошо - как только эти страницы проверены, они попадают в белый список.
Обратите внимание, что пользователи и корпорации с настройками безопасности, установленными на максимум, могут блокировать URL-адреса, которые еще не были проверены.