Китайские обзоры
#121
Отправлено 17 Октябрь 2011 - 21:32
#122
Отправлено 17 Октябрь 2011 - 21:49
Не могли бы Вы скинуть мне скинуть с десяток примеров зарегистрированных пользоватлей в личку, либо мыло. Интересует User-Agent - IP, вводимые данные логин/email/пароль (если пароли не являются явно рандомными). Если есть вы пишете еще какую-то клиентскую информацию (разрешение, default encoding и т.д.), то это тоже может оказаться полезным. Возможно появятся какие-то идеи по алгоритмам блокировки. Это если конечно Вам интересна моя помощь в данном вопросе.
#123
Отправлено 17 Октябрь 2011 - 22:09
KOL сказал:
Не могли бы Вы скинуть мне скинуть с десяток примеров зарегистрированных пользоватлей в личку, либо мыло. Интересует User-Agent - IP, вводимые данные логин/email/пароль (если пароли не являются явно рандомными). Если есть вы пишете еще какую-то клиентскую информацию (разрешение, default encoding и т.д.), то это тоже может оказаться полезным. Возможно появятся какие-то идеи по алгоритмам блокировки. Это если конечно Вам интересна моя помощь в данном вопросе.
я ничего не писал пока, но идея хорошая. сейчас на сайте включу логи и начну через tcpdump записывать весь трафик к сайту. утром посмотрим, что там получится
#124
Отправлено 18 Октябрь 2011 - 12:41
У меня тут появилась пара идей.
1) Если в браузере стоит default encoding китайский, то принимаем меры. Например такие посты и регистрации должны проходить approve.
2) Делаем стоплист чексумов.
Чексум - хеш конкатенации (md5 будет достаточным): HTTP_ACCEPT_LANGUAGE HTTP_USER_AGENT
По моему опыту, совпадение таких чексумов у разных пользователей крайне мала, практически маловероятна. Соотвественно, как только китайцы попадают в стоплист чексумов, никакие прокси их уже не спасут.
#125
Отправлено 18 Октябрь 2011 - 13:05
KOL сказал:
Чтобы не писать код логирования, я просто запустил tcpdump -s0 -w mysku.cap dst host x.x.x.x and port 80 - это дало мне полную раскладку по тому какие заголовки у них стоят в http запросе.
Цитата
1) Если в браузере стоит default encoding китайский, то принимаем меры. Например такие посты и регистрации должны проходить approve.
2) Делаем стоплист чексумов.
Чексум - хеш конкатенации (md5 будет достаточным): HTTP_ACCEPT_LANGUAGE HTTP_USER_AGENT
По моему опыту, совпадение таких чексумов у разных пользователей крайне мала, практически маловероятна. Соотвественно, как только китайцы попадают в стоплист чексумов, никакие прокси их уже не спасут.
Спасибо за идеи, я пока еще не анализировал дамп который я вчера собрал. Но глядя мельком, мне кажется, что они задействовали какое-то промышленное (ботнет?) для регистрации на сайте - на роботов не похоже вообще
POST /registration/ HTTP/1.1 User-Agent: Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.9.168 Version/11.51 Host: mysku.ru Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 Accept-Language: ru-RU,ru;q=0.9,en;q=0.8 Accept-Encoding: gzip, deflate Referer: http://mysku.ru/registration/ Cookie: uid=LgTqFk6HMx5xIyXtB/shAg==; PHPSESSID=9cn9tq49li8tqn21929ta672g4; __utma=130951059.1019254712.1317485061.1318776211.1318781003.21; __utmz=130951059.1317485061.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); visitor_id=a81f42d0efd35e11314d009dcad488ef Connection: Keep-Alive Content-Length: 113 Content-Type: application/x-www-form-urlencoded login=andrews14&mail=saltya%40inbox.ru&password=zxca11sd123&password_confirm=zxc11asd123&captcha=3q7&submit_register=
Или может на каком-то русскоязычном форуме пообещали награду за логин и пароль от нашего сайта. И толпы хомячком начали добавать награду.
#126
Отправлено 18 Октябрь 2011 - 13:06
#127
Отправлено 18 Октябрь 2011 - 13:12
#128
Отправлено 18 Октябрь 2011 - 13:35
admin сказал:
Это русская сборка оперы под винду. Уверен на 98%, что это не китайцы. Мыло тоже нормальное, такой email сейчас не зарегистрируешь рандомно. С этого email пришла конфирмация? Реализация такого уровня ботнета под конкретный сайт - задача более дорогостоящая, чем профит, который могут получить китайцы.
Из всего этого, у меня складывается впечатление, что это не китайцы вовсе, а какие-то конкуренты, которые изначально косили под китайцев.
У вас есть список IP адресов, с которых пошли первые "китайские" регистрации? Есть мнение, что их стоит проверить на предмет, а не прокси ли это.
#129
Отправлено 18 Октябрь 2011 - 13:47
#130
Отправлено 18 Октябрь 2011 - 19:49
1) Упоминание на форуме про сайт zhzi
2) Набег полоумного китайца который начал размещать по 2 обзора в минуту про свой магазин
3) Закрытие регистрации с китайских ip
4) Два часа тишины
5) Китаец сообразил, что забанили китай
6) Нашел российские прокси - и снова начал постить - около часа модераторы с ним бились
7) Модераторам дали возможность удалять посты ( а не сохранять в черновики)
8) минут 20 тишина
9) поток регистраций с нормальных IP и нормальными email
10) Закрытие регистраций совсем.
У меня две версии -
1) есть какое-то стандартное решение для таких целей ( например ботнет) который можно взять в аренду на короткое время. (здесь я вроде когда-то видел пост о цене в 25$ за час)
2) или кто-то кинул клич на каком-нть форуме и толпы хомячков начали ломиться на наш сайт
#131
Отправлено 18 Октябрь 2011 - 20:18
#132
Отправлено 19 Октябрь 2011 - 14:32
KOL сказал:
с начала потока вроде был один пост, но я был за компом и как только увидел, что у меня за минуту появилось 10 регистраций - так сразу закрыл регистрацию на сайте. Поэтому у них не было возможности разместить пост.
#133
Отправлено 19 Октябрь 2011 - 17:24
Прибежал бешеный китаец и разместил пост на жижу. Помимо данного ресурса, он скорее всего проспамился еще много где. Поскольку google молодец, он очень быстро проиндексировал информацию на mysku.ru. Юзеры, офигевшие от такой неслыханной халявы ринулись гуглить на предмет, что же это за чудесный ресурс такой. В итоге попали на mysku.ru, где решили уже нормально зарегистрироваться без задней мысли.
#134
Отправлено 19 Октябрь 2011 - 22:11
#135
Отправлено 31 Октябрь 2011 - 20:27