inius Posted March 10 Report Posted March 10 Salut, Mă scuzați că postez un prim subiect care solicită din prima un ajutor, o idee, de unde să apuc problema. Administrez câteva magazine online care, de la o vreme, sunt spamate cu creare de conturi de forma: utilizator : uRnvo4xpkfRc adresă de email: pe yahoo, gmail, aol... Nu înțeleg de ce se întâmplă asta, ce urmăresc spamerii. Conturile nu sunt activate. Platforma funcționează așa: ca să-și deschidă cont, omul își bagă niște date minimale (nume + email + o bifă de acceptare T&C) și i se generează un email automat de forma: „Salut uRnvo4xpkfRc, bine ai venit bla bla, Ca să activezi contul, dă click aici [link criptat].” Pe unele platforme se crează zilnic zeci de asemenea conturi. În afară de trimiterea automată a emailului, nu văd nici un sens. Pe altele apare câte un cont la 1-2 zile, chiar zilnic, dar nu mai mult. Ca și cum cineva testează ceva, „nu ar funcționa” ceea ce se urmărește, și se abandonează ideea. Am mai întâlnit ceva asemănător la un client care avea un Prestashop, trimiteau ca nebunii formulare de contact. Acolo am dezactivat pur și simplu formularul de contact. Spamerii au continuat să umple baza de date cu mesaje, dar formularul nu mai pleca nicăieri. Serverele nu înregistrează alte emailuri de ieșire în afara celor de confirmare. Dacă încerc să „spionez” cu un program de analytics care îmi permite să înregistrez comportamentul utilizatorului, nu văd nimic, ceea ce înseamnă că e vorba de accesări cu boți. Totuși, nu înțeleg ce urmăresc. M-am gândit că toată cheia e stringul acela - uRnvo4xpkfRc - care o declanșa vreo poveste la utilizatorul care primește mailul, dar e ciudat, fiindcă emailurile sunt de tip yahoo, gmail, aol etc. - astea se citesc online, nu se descarcă pe calculator. Ceva idei? Quote
14pe Posted March 10 Report Posted March 10 (edited) Salut, poate vor sa iti epuizeze quota-urile de trimis mail-uri / baza de date. Poti sa bagi un captcha la inregistrare, sau, daca nu vrei sa impactezi user experience-ul poti sa pui un Cloudflare in fata. Uita-te in server logs si vezi ce User-Agent folosesc, poate poti sa faci blacklist pe baza lui, cel mai probabil dau request-urile cu un script la care mai mult ca sigur nu au modificat UA-ul. Cat despre string, pare doar un identificator alfanumeric, cat sa genereze useri unici, care nu au mai fost inregistrati, pentru un success rate mai mare. Edited March 10 by 14pe 1 Quote
UnixDevel Posted March 10 Report Posted March 10 E plin de boti Pune-ti captch sau cloudflare. Sunt boti facuti cu ceva tool , cauta de obicei formuri. Stai cill nu esti special . Quote
Active Members vatman32 Posted Saturday at 10:51 AM Active Members Report Posted Saturday at 10:51 AM Tinta poate fi chiar serviciul de webhosting nu neaparat site-ul tau, folosindu-te ca proxy. Quote
Zatarra Posted Saturday at 10:06 PM Report Posted Saturday at 10:06 PM Salut, Mereu vor fi boti de genul (si noi avem o groaza, chiar daca am incercat diferite mecanisme de protectie). O recomandare ar fi sa filtrezi partea de inregistrare prin Recaptcha sau ceva mai ok (si free de preferat), daca nici asta nu merge incearca sa apelezi la un WAF (cu toate ca vor trece si de partea aia). Noi ne lovim de faptul ca posteaza diferite chestii (marea majoritate a cazurilor vor sa faca spam) dar nu apar - deoarece le stergem (noi adminii). Daca ai nevoie de ajutor mai specific mentioneaza si incercam sa te ajutam. Quote
Moderators Dragos Posted yesterday at 02:00 PM Moderators Report Posted yesterday at 02:00 PM Nu sunt neaparat boti cat sunt indieni care inregistreaza un cont manual si dupa posteaza cu copy paste. Asa trec usor de captcha. Am un mediawiki pe care il administrez si am scapat in mare parte de spam prin Stop Forum Spam. Incarc o data pe ora IP-urile flagged in ultimele 30 de zile. @Nytro, putem incerca SFS si pe forum, https://github.com/skinod/IPS4-StopForumSpam. 1 Quote
inius Posted 4 hours ago Author Report Posted 4 hours ago Dar ce vor? Ce urmăresc? Ideea că vor să flood-eze clientul de mailing poate fi valabilă, dar numai pe unele magazine (câteva) postează în disperare. În altele fac un cont la 1, 2 zile, ca și cum ar „testa” sistemul, nu obțin ceea ce trebuie și pleacă. Quote
inius Posted 4 hours ago Author Report Posted 4 hours ago Între timp am mai descoperit ceva. Pe lângă emailul care pleacă automat, se mai întâmplă ceva, un amănunt pe care l-am omis fiindcă nu l-am socotit necesar, dar s-ar putea să ofere o cheie de înțelegere. Utilizatorul, la înscrierea pe site, își dă nume, email și își creează o parolă. Parolă este reținută în baza de date, chiar dacă utilizatorul nu și-a activat contul. Numai că nu e reținută în clar, ci criptat. Parolele utilizate de acești boți sunt la fel de ciudate precum „numele” de utilizatori. Iată câteva exemple: 3MkTaZCm66KvvB! vrcSsDYGg0MChH! jJuvJVKDw5G4Zr! h0i41Buf0oge0O! dH0NmKjv8YlYn9! 5Xbrb5XdUUNkkQ! 7VwczDl0pNl28O! wIrjzmxKnnBMQx! SIRaTdmxqrIxRP! Mik8AcCqzpJrGx! După cum se observă, toate au același tipic (deci sunt făcute de același creier). Absolut toate se încheie cu „!”. Mă întreb dacă nu cumva atacatorul nu urmărește inserarea acestui string în baza de date pentru a obține cine știe ce răspuns ulterior prin apelarea lui. Ceea ce oricum e ciudat, fiindcă parola e inserată criptat. Dar e de cercetat și în direcția asta. Quote
