<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Here is the scenario:</p>
<p><br>
</p>
<p>I have written a simple little Perl script which runs on an Linux web host.</p>
<p><br>
</p>
<p>The purpose is to track the IP of laptop computers we own.</p>
<p><br>
</p>
<p>The laptops are Windows 10. They run a little PowerShell script triggered off of an event (when an IP address is assigned to an interface).</p>
<p><br>
</p>
<p>The computer name along with a couple of parameters <span>is encoded in base64</span> and this string is passed in the URL to the Perl script on the server over unencrypted HTTP.</p>
<p><br>
</p>
<p>The base64 encoding is in no way an attempt to encrypt or "secure" the communication, it is just a convenient way to get all of the parameters into a single HTTP GET parameter.</p>
<p><br>
</p>
<p>The server-side Perl script is set up in such a way that if any query that isn't recognized is received, an error page is displayed.</p>
<p><br>
</p>
<p>Only strictly sanitized input is then inserted into an SQLite db file. So the parameters have to be perfectly ordered and then encoded then received, decoded, checked and then finally inserted.</p>
<p><br>
</p>
<p>Here is the confounding part:</p>
<p><br>
</p>
<p>Twice now, in as many days, I have seen a duplicate of a query for two of our laptops come in from unexpected IPs and written to the db file.</p>
<p><br>
</p>
<p>The laptops in question are sitting in our office, have not been touched by users and have no correlating events in their logs.</p>
<p><br>
</p>
<p>The querying IPs are only a few octets apart (<span>65.208.151.114</span> and <span>
65.208.151.119)</span> and both show that they belong to a block of IPs owned by <span>
Kintiskton LLC</span> (a subnet of a Verizon Business block). Both IPs geo-locate to La Hara, California (a suburb of Los Angeles). They also are using a strange UA: "<span>Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)</span>"</p>
<p><br>
</p>
<p>I found these pages when searching for Kintiskton:</p>
<p><br>
</p>
<p><a class="OWAAutoLink" id="LPlnk10643" href="http://www.guyellisrocks.com/2012/01/kintiskton-llc-ip-ranges.html" previewremoved="true">http://www.guyellisrocks.com/2012/01/kintiskton-llc-ip-ranges.html</a></p>
<p><a class="OWAAutoLink" id="LPlnk506162" href="https://ceph.algia.co.uk/wp/kintiskton-or-the-story-of-the-copyright-vigilantes/" previewremoved="true">https://ceph.algia.co.uk/wp/kintiskton-or-the-story-of-the-copyright-vigilantes/</a></p>
<p><br>
</p>
<p>So this would appear to be a web spider of some kind which, according to some, is poorly written, extremely aggressive and ignores robots.txt.</p>
<p><br>
</p>
<p>I get that the site will be crawled and it doesn't surprise me that this was within an hour or so of it first going up.</p>
<p><br>
</p>
<p>What I don't understand is how an entity out on the net is able to, apparently, know the full URLs including queries and parameters of a site which I just put up and only just queried myself?</p>
<p><br>
</p>
<p>Anyone up for schooling me on this new fangled Internet thing?</p>
<p><br>
</p>
<p>--Loren</p>
<p><br>
</p>
<p><br>
</p>
</div>
</body>
</html>