Сообщений в теме: 134

[silensilen]

Я имеел виду что-то врде "черного списка", для информирования посетителей.

[KOL]

admin, регистрация идет через ботов, или реальные браузеры?
Не могли бы Вы скинуть мне скинуть с десяток примеров зарегистрированных пользоватлей в личку, либо мыло. Интересует User-Agent - IP, вводимые данные логин/email/пароль (если пароли не являются явно рандомными). Если есть вы пишете еще какую-то клиентскую информацию (разрешение, default encoding и т.д.), то это тоже может оказаться полезным. Возможно появятся какие-то идеи по алгоритмам блокировки. Это если конечно Вам интересна моя помощь в данном вопросе.

[admin]

KOL сказал:

admin, регистрация идет через ботов, или реальные браузеры?
Не могли бы Вы скинуть мне скинуть с десяток примеров зарегистрированных пользоватлей в личку, либо мыло. Интересует User-Agent - IP, вводимые данные логин/email/пароль (если пароли не являются явно рандомными). Если есть вы пишете еще какую-то клиентскую информацию (разрешение, default encoding и т.д.), то это тоже может оказаться полезным. Возможно появятся какие-то идеи по алгоритмам блокировки. Это если конечно Вам интересна моя помощь в данном вопросе.

я ничего не писал пока, но идея хорошая. сейчас на сайте включу логи и начну через tcpdump записывать весь трафик к сайту. утром посмотрим, что там получится

[KOL]

tcpdump Вам не поможет. Сама по себе фильтрация по пакетам - очень плохая идея в данном случае. Фильтровать нужно именно по побочным признакам, таким как IP, User-Agent, supported language.

У меня тут появилась пара идей.

1) Если в браузере стоит default encoding китайский, то принимаем меры. Например такие посты и регистрации должны проходить approve.
2) Делаем стоплист чексумов.
Чексум - хеш конкатенации (md5 будет достаточным): HTTP_ACCEPT_LANGUAGE HTTP_USER_AGENT
По моему опыту, совпадение таких чексумов у разных пользователей крайне мала, практически маловероятна. Соотвественно, как только китайцы попадают в стоплист чексумов, никакие прокси их уже не спасут.

[admin]

KOL сказал:

tcpdump Вам не поможет. Сама по себе фильтрация по пакетам - очень плохая идея в данном случае. Фильтровать нужно именно по побочным признакам, таким как IP, User-Agent, supported language.

Чтобы не писать код логирования, я просто запустил tcpdump -s0 -w mysku.cap dst host x.x.x.x and port 80 - это дало мне полную раскладку по тому какие заголовки у них стоят в http запросе.

Цитата

У меня тут появилась пара идей.

1) Если в браузере стоит default encoding китайский, то принимаем меры. Например такие посты и регистрации должны проходить approve.
2) Делаем стоплист чексумов.
Чексум - хеш конкатенации (md5 будет достаточным): HTTP_ACCEPT_LANGUAGE HTTP_USER_AGENT
По моему опыту, совпадение таких чексумов у разных пользователей крайне мала, практически маловероятна. Соотвественно, как только китайцы попадают в стоплист чексумов, никакие прокси их уже не спасут.

Спасибо за идеи, я пока еще не анализировал дамп который я вчера собрал. Но глядя мельком, мне кажется, что они задействовали какое-то промышленное (ботнет?) для регистрации на сайте - на роботов не похоже вообще

POST /registration/ HTTP/1.1
User-Agent: Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.51
Host: mysku.ru
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Encoding: gzip, deflate
Referer: http://mysku.ru/registration/
Cookie: uid=LgTqFk6HMx5xIyXtB/shAg==; PHPSESSID=9cn9tq49li8tqn21929ta672g4; __utma=130951059.1019254712.1317485061.1318776211.1318781003.21; __utmz=130951059.1317485061.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); visitor_id=a81f42d0efd35e11314d009dcad488ef
Connection: Keep-Alive
Content-Length: 113
Content-Type: application/x-www-form-urlencoded
login=andrews14&mail=saltya%40inbox.ru&password=zxca11sd123&password_confirm=zxc11asd123&captcha=3q7&submit_register=

Или может на каком-то русскоязычном форуме пообещали награду за логин и пароль от нашего сайта. И толпы хомячком начали добавать награду.

[admin]

Все закончилось где-то около 2-3 ночи по москве.

[ProtegeMoi]

Не думаю что ботнет, был бы он, мы бы разгребали это еще очень долго. Да и ботнет стоит неплохих денег, скорее всего какие-нибудь студенты решили на хомячках платящих центы денежку поднять.

[KOL]

admin сказал:

Спасибо за идеи, я пока еще не анализировал дамп который я вчера собрал. Но глядя мельком, мне кажется, что они задействовали какое-то промышленное (ботнет?) для регистрации на сайте - на роботов не похоже вообще

Это русская сборка оперы под винду. Уверен на 98%, что это не китайцы. Мыло тоже нормальное, такой email сейчас не зарегистрируешь рандомно. С этого email пришла конфирмация? Реализация такого уровня ботнета под конкретный сайт - задача более дорогостоящая, чем профит, который могут получить китайцы.

Из всего этого, у меня складывается впечатление, что это не китайцы вовсе, а какие-то конкуренты, которые изначально косили под китайцев.
У вас есть список IP адресов, с которых пошли первые "китайские" регистрации? Есть мнение, что их стоит проверить на предмет, а не прокси ли это.

[ProtegeMoi]

А какие конкуренты?если только....наш дружище с ТД.

[admin]

Хронология событий была такова

1) Упоминание на форуме про сайт zhzi
2) Набег полоумного китайца который начал размещать по 2 обзора в минуту про свой магазин
3) Закрытие регистрации с китайских ip
4) Два часа тишины
5) Китаец сообразил, что забанили китай
6) Нашел российские прокси - и снова начал постить - около часа модераторы с ним бились
7) Модераторам дали возможность удалять посты ( а не сохранять в черновики)
8) минут 20 тишина
9) поток регистраций с нормальных IP и нормальными email
10) Закрытие регистраций совсем.

У меня две версии -

1) есть какое-то стандартное решение для таких целей ( например ботнет) который можно взять в аренду на короткое время. (здесь я вроде когда-то видел пост о цене в 25$ за час)
2) или кто-то кинул клич на каком-нть форуме и толпы хомячков начали ломиться на наш сайт

[KOL]

С тех потоков регистраций, были посты или нет? Похоже у меня нарисовалась картина.

[admin]

KOL сказал:

С тех потоков регистраций, были посты или нет? Похоже у меня нарисовалась картина.

с начала потока вроде был один пост, но я был за компом и как только увидел, что у меня за минуту появилось 10 регистраций - так сразу закрыл регистрацию на сайте. Поэтому у них не было возможности разместить пост.

[KOL]

Вобщем моя теория такова.

Прибежал бешеный китаец и разместил пост на жижу. Помимо данного ресурса, он скорее всего проспамился еще много где. Поскольку google молодец, он очень быстро проиндексировал информацию на mysku.ru. Юзеры, офигевшие от такой неслыханной халявы ринулись гуглить на предмет, что же это за чудесный ресурс такой. В итоге попали на mysku.ru, где решили уже нормально зарегистрироваться без задней мысли.

[admin]

Вполне возможно так оно и было :) Все Email у меня сохранились, завтра напишу письмо им всем, посмотрим что скажут :)

[mkt]

Ну так что? нашелся смелый человек, заказал что нибудь на этом сайте? =) Или можно уже со 100% уверенностью ставить крест на нем?