הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - בעיה.. בוטים שוב... (https://hosts.co.il/forums/showthread.php?t=81833)

anti	27-03-10 17:30

בעיה.. בוטים שוב...

יש לי באתר www.freeff.co.il כל פעם שמוסיפים סיסמא חדשה, אז יש כפתור "קח את הסיסמא"
עכשיו, לאחרונה שמתי לב כי הסיסמא נלקחת ממש מהר, ומסתבר שאלו לא אנשים רגילים, כי בשניה שהוספתי נלקח הכל, מה שמצביע על היותם בוטים שסורקים את האתר,
עכשיו שיניתי את זה לשאלה לפני לקיחה, ככה שכמעט בלתי אפשרי לעקוף את זה, אך אני חושב שהם משתמשים בRSS, האם יש דרך למנוע את זה?

Shay Ben Moshe

27-03-10 17:52

דבר ראשון תעשה ניסוי.
תבטל את הRSS לכמה זמן.
דבר שני, רוב הסיכויים שלא תוכל להתמודד מול בוטים בקטע של RSS, תנסה לבדוק USER AGENTS של מי שלוקח את הסיסמאות.

intercooler3819

27-03-10 20:40

אני דווקא לא חושב שזה בוטים

yonatan

27-03-10 21:55

אתה יכול להאט את החיבורים לאיפי של האתר שלך בשרת באמצעות iptables ככה שאם מישהו מציף בצורה חריגה זה פשוט יסגור לו את ה SESSION בפנים , ככה שרק אלה שלא מרמים יוכלו להנות מהאתר.

( חשוב שיהיה לך איפי פרטי לאתר אם אתה לא רוצה להשפיע על שאר האתרים ).

או פשוט תוסיף קוד אבטחה בדף שלוקחים את הסיסמא. ( שזה יהיה דף נפרד ).

anti	28-03-10 12:20

זה בוטים בוודאות, שמתי בעמוד הלקיחת סיסמא מספר ראנדומלי, והם לא מצליחים לעלות עליו

yonatan

28-03-10 13:07

ציטוט:

נכתב במקור על ידי anti (פרסם 759554)

זה בוטים בוודאות, שמתי בעמוד הלקיחת סיסמא מספר ראנדומלי, והם לא מצליחים לעלות עליו

תשאיר את זה ככה אז , המון אתרים פופולריים משתמשים בשיטה הזאת לגנה בפני בוטים.

anti	28-03-10 13:22

זה רק עניין של זמן עד שהם יעלו על דרך לעקוף את זה

yonatan

28-03-10 13:33

ציטוט:

נכתב במקור על ידי anti (פרסם 759567)

זה רק עניין של זמן עד שהם יעלו על דרך לעקוף את זה

http://recaptcha.net/
זה בטוח יעצור אותם
:)

Erez | TrustMedia.co.il

28-03-10 13:48

אבל יש לך RSS באתר,אז לא יעזור אם תשים קוד אבטחה,הם פשוט ילכו לRSS ויקחו משם,או שאתה לא מציג שם סיסמאות פעיולת?

anti	28-03-10 19:37

WiPi, ישנו שם קישור לסיסמאות חדשות, הבעיה היא שהסיסמאות מחולקות קודם לאלה שלא השתמשו, אז הבוטים בעצם היו לוחצים על הכפתור של הקח סיסמא שהיה כנראה מגיע אליהם דרך הRSS,
ואז כאילו הסיסמא היתה מפורסמת כסיסמא שלקחו אותה 100 אנשים... ואז זה היה הורס את כל האפקט.. עכשיו הכנסתי בקובץ שמביא לך את הסיסמא, קוד אימות.

yonatan, זה לא יזכור אותם בתור אנשים רגילים בכל מקרה הם יקחו את הקוקיס ויעקפו את זה. אני לא אשגע כל רגע משתמש להיכנס לאתר בשביל זה

Erez | TrustMedia.co.il

28-03-10 19:46

הכוונה שתעשה שמתי שלוחצים על קח סיסמא,המשתמש יתבקש להכניס את הקוד אימות ורק אז הוא יוכל לקחת את הסיסמא

anti	29-03-10 15:37

זה בידיוק מה שעשיתי. וגם בכניסה לאתר, כי בכניסה לאתר מתקיפים בוטים וגורמים להפלה שלו.

Daniel

29-03-10 22:37

ציטוט:

נכתב במקור על ידי anti (פרסם 759665)

זה בידיוק מה שעשיתי. וגם בכניסה לאתר, כי בכניסה לאתר מתקיפים בוטים וגורמים להפלה שלו.

אם מישהו היה רוצה להפיל את האתר שלך בעזרת בוטים... ה"קוד אבטחה" ששמת זה הדבר האחרון שיעצור אותם.

בין אם זה ליצור עוגיה בשם "notbo2" עם הערך "kkk", או סתם לדאוג שהבוט ישלח "12" בטופס...

אל תציג את הסיסמאות עצמן ב-RSS, תפנה לאתר.

anti	30-03-10 15:17

ומה אם אני אגיד לך כי העוגיה משתנה כל X ימים? ועם קוד הכניסה משתנה גם הוא?

Daniel

30-03-10 15:30

ציטוט:

נכתב במקור על ידי anti (פרסם 759715)

ומה אם אני אגיד לך כי העוגיה משתנה כל X ימים? ועם קוד הכניסה משתנה גם הוא?

זאת לא דרך למנוע מבוטים להיכנס כי תוך חצי דקה אפשר לעקוף את זה. יש דבר שנקרא CAPTCHA, משתמשים בסיישנים / הרשאות IP מוגבלות בזמן...
לא עושים את זה כמו שאתה עושה. כי גם אם תשנה את זה כל יום, כל אחד תוך חצי דקה יכול "לעקוף" את זה.

anti	30-03-10 15:34

אני יודע, אבל CAPTCHA מעמיס מאוד על השרת, והRECAPTCHA הזה הוא מציק ומעיק וזה טוב לאופן חד פעמי. הרשמות וכו' לא כל פעם.

Daniel

30-03-10 16:17

ציטוט:

נכתב במקור על ידי anti (פרסם 759720)

אני יודע, אבל CAPTCHA מעמיס מאוד על השרת, והRECAPTCHA הזה הוא מציק ומעיק וזה טוב לאופן חד פעמי. הרשמות וכו' לא כל פעם.

איך CAPTCHA מעמיס על השרת?
כל דבר מעמיס על השרת.......

אם עושים משהו, ועושים אותו נכון ומהסיבה הנכונה, זה הפיתרון האידיאלי.

כמובן, יש עוד כל מיני דרכים "להגן", וזה כבר "security through obscurity", ובשביל פתרונות שמפתחים יעמלו כדי ליצור ולהתאים לאתר שלך - פורום מסחר הוא המקום המתאים.

anti	30-03-10 17:08

זה דופק את השרת. גם ככה לשרת קשה להחזיק את האתר הזה.

Daniel

30-03-10 17:14

ציטוט:

נכתב במקור על ידי anti (פרסם 759728)

זה דופק את השרת. גם ככה לשרת קשה להחזיק את האתר הזה.

אם הבעייה היחידה שלך שזה "דופק את השרת", אז כנראה שמי שעשה עבורך הקאפטצ'ה (וכנראה גם את האתר עצמו) לא עשה את זה נכון ויעיל... או שהשרת ממש ממש ממש ממש ממש, אבל ממש, חלש.

עוד פעם - יש לך 2 "גישות" עיקריות - קאפטצ'ה או "security through obscurity". ואם מה שיש לך עכשיו לא נכון ולא עובד, אז אני ממליץ או שתראה את הקוד של האתר והקאפטצ'ה ואני בטוח שהפורום ישמח לעזור לך לייעל את זה, או שתפנה לפורום מסחר... אין "פתרון קסם".

anti	31-03-10 12:50

כשנכנסים 5 אלף בוטים כל שניה ויוצרים SESSION חדש זה דופק תשרת.
ואני משתמש ב
+-------------------------------------------------------------------+
| S E C - C O D E (v1.1) |
| |
| Copyright Gerd Tentler www.gerd-tentler.de/tools |
| Created: Sep. 28, 2006 Last modified: Oct. 3, 2006 |

Kernel

31-03-10 16:11

שני פתרונות, שניהם יקרים, האחד בטווח הקצר והאחר בטווח הארוך.
1. תבנה מחדש את מערכת ה-SECURITY, תשכור מישהו שלו הפתרונות לתכנן חסימה ראויה.
2. תשדרג את השרת לשרת חזק יותר, אבל זה כמו לעטוף נמק בתחבושת.

חלופות אחרות:
1. להשתמש ב-FIREWALL.
2. לפנות לבן אדם שמציף אותך ולשכנע אותו שזה לא ישתלם לו(מכתב אזהרה מעו"ד לדוגמא).

כל הזמנים הם GMT +2. הזמן כעת הוא 04:18.