Я вижу странные запросы от пользователя, который в остальном кажется законным. По сути, кажется, что некоторые символы в запросе их браузера заменяются, казалось бы, случайным образом. Из моих журналов apache2:
wdomain.com:80 A.B.C.D - - [01/Jul/2015:14:21:05 +0200] "POST /index.php?id=699&dID=foo HTTP/1.1" 301 608 1822125 "http://www.vdomain.se/my-profile/private-messages/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTLL, like Gecko) Chrome/43.0.2357.124 Safari/537.36"
или, например, здесь dID должно быть eID. vdomain в реферере должно быть wdomain. И KHTLL in the user-agent should beKHTML`` конечно!
wdomain.com:80 A.B.C.D - - [01/Jul/2015:14:21:11 +0200] "GET /my-profile/private-messages/?dID=foo HTTP/1.1" 404 24471 541869 "http://wdomain.com/my-psofile/private-messages/" "Mozilla/5.0 (Macintosh; Intel Mac NS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2357.124 Safari/537.36"
Вот my-profile в реферере был переключен на my-psofile.
Что могло вызвать эти, казалось бы, случайные замены? Похоже, что расширение rouge можно исключить, поскольку некоторые замены не должны происходить из-за изменений в DOM, таких как изменение реферера и пользовательского агента. Поскольку в остальном пользователь кажется доброжелательным, и поскольку изменения настолько случайны, маловероятно, что это был какой-либо злой умысел.
Вероятно, что-то перехватывает и неправильно обрабатывает трафик между клиентом и вами. Вы можете использовать Tcpdump или что-то подобное, чтобы увидеть фактические пакеты, получаемые по сети, чтобы убедиться, что проблема не в модуле Apache, переписывающем запрос странным образом.
Если вы можете перехватывать пакеты клиентов, когда они покидают свою машину, это также может сказать вам, создается ли проблема на их стороне (может быть, плагин браузера) или человеком посередине - например, прокси.