pensa che c'e' chi mette sql injections dentro il referer ... questo per dirti che non e' mai cosi' affidabile.

Comunque sia, sei sicuro nessuno abbia salvato la pagina in locale o fatto altro di inaspettato?

p.S. un bot puo' inviare anche un diverso user agent, come un diverso IP, etc ... constrolla comunque sempre tutto e magari avrai qualche dettaglio in piu'