Sto sviluppando un progetto personale e una parte del progetto è un sito Web php, ospitato su hostinger come piano gratuito, che consente ai client di eseguire il ping su di esso e memorizza l'IP WAN e l'IP NAT di essi.
Possono eseguire il ping sulla pagina Web semplicemente effettuando una richiesta GET per: MyWebSite / ping.php ip = XXX.XXX.XXX.XXX &? description = USERNAME
dove "ip" è l'IP NAT e "description" è un parametro per memorizzare il nome dell'utente.
// Snippet of ping.php
// obs.: didn't handled the inputs in a correct way because I'm just testing
$real_ip = $_SERVER ['REMOTE_ADDR'];
$ip = isset($_GET ['ip']) ? $_GET ['ip'] : '';
$description = isset($_GET ['description']) ? $_GET ['description'] : '';
if (!empty($ip)) {
// If ip is not set or empty, do not save anything
// saves the ip (nat), description and the real ip into database
}
else
{
// do nothing
}
Il mio sito web è attivo e funzionante. L'ho provato e salva il mio ip reale e locale. Ho anche creato un file php per visualizzare un elenco di tutti i client che eseguono il ping del server.
Il mistero
Ieri ho distribuito il sito online ieri e ho effettuato alcuni test di pinging su di esso. Ha memorizzato il mio IP ok. Oggi ho smesso di lavorarci un po 'e quando sono tornato mi sono reso conto che 10 diversi IP facevano il ping del mio file ping.php con il parametro' ip 'impostato sul loro NAT NAT locale. Consulta l'elenco IP qui
Durante il periodo in cui ero fuori sono sicuro che nessuno dei miei programmi client ha eseguito il ping sul file da quando il mio PC è stato spento. Anche gli IP trovati (IP reale, non NAT) erano tutti diversi dal mio (il mio non è cambiato fino al momento in cui ho controllato gli IP fantasma).
Domanda: Com'è possibile che qualcuno raggiunga un file php sul web e faccia una richiesta usando i parametri righ visto che solo io e dio conosciamo l'esistenza di questo file php sul mio server web?
Informazioni aggiuntive
- Nel mio .htaccess situato in htm_public, ho disabilitato l'indicizzazione.
- Nessuno tranne me ha avuto accesso al mio account hostinger
- Non c'è un indice o una pagina predefinita sul mio server web, solo il ping.php e lo show_all_ips.php
- Ho provato alcuni dork di Google a trovare il mio file ping.php ma non ho trovato nulla