Форум русской поддержки Joomla!® CMS
08.12.2016, 13:55:57 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Внимание! Будьте готовы к атакам - фэйковыми заказами

 (Прочитано 1440 раз)
0 Пользователей и 1 Гость смотрят эту тему.
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« : 11.03.2015, 00:24:33 »

Привет всем!

Обращаю внимание что стал жертвой атаки ботов. Готовьтесь - они могут придти и к вам!
Воюю второй день уже. Собираю инфу.

Симптомы:
1) Приходят заказы которых не осуществляли люди (спам заказами)
2) Боту плевать на обязательные поля и js скрипты форматов (явно идет подмена post запросов)
3) Заказы формируются не одинаковые - изменяются выбор Доставки, Оплаты, Адреса, ФИО, товаров
4) Анализ лога сервера (в моем случае) заходят с ПС в каталог, кликают товары и после оформляют заказ
5) Город в заказе не такой как по IP
6) Приходы с разных компов (апплы, винды)
7) Атака идет на разные движки (уже точно известно что Drupal и OpenCart в их числе) - тоесть движок не важен

Подтверждение ситуации из других форумов
http://www.drupal.ru/node/116107
https://opencartforum.com/topic/44807-%D1%84%D0%B5%D0%B9%D0%BA%D0%BE%D0%B2%D1%8B%D0%B5-%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D1%8B/

Кто стал жертвой - давайте обсуждать возможные решения. Кто хочет в ЛК.

UPD1: Рекламу на стороне не заказывал. Тоесть накручивать заказы левые кому то нету смысла.
UPD2: Добавилась ветка по проблеме на Серче http://searchengines.guru/showthread.php?t=888796
UPD3: Серч #2 http://searchengines.guru/showthread.php?t=888914
UPD4: Форум Битрикса http://dev.1c-bitrix.ru/community/forums/messages/forum6/topic70632/message370152/#message370152
UPD5: Websyst http://forum.webasyst.ru/viewtopic.php?id=24257
« Последнее редактирование: 13.03.2015, 23:17:06 от mister_boy » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #1 : 11.03.2015, 00:33:52 »

cloudflare + скрытый дропбокс или что-то вроде.
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #2 : 11.03.2015, 00:36:29 »

cloudflare + скрытый дропбокс или что-то вроде.

я не Гуру ))) если можно по подробнее что это?
Записан
voland
Профи
********

Репутация: +488/-86
Offline Offline

Пол: Мужской
Сообщений: 8720


любит наш народ всякое гавно...


« Ответ #3 : 11.03.2015, 01:20:24 »

А сайт можно увидеть?
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #4 : 11.03.2015, 01:42:05 »

А сайт можно увидеть?

Паранойя у меня уже небольшая. Сайт в паблик не буду выкладывать. В ЛК если нужно.
Как я уже выяснил это не дырка движков - на многих движках идет на этих днях атака. Началось у многих пару дней назад как и у меня.
Это эмуляция пользователей или заказ типа Userator

Цели пока не ясны. У нас молодой сайт - трафика нету

Из идей:
1) Обкатывают бота для атаки на крупных
2) Выкатят условия после атак
3) Происки конкурентов - но мы пока не конкуренты (мелкие мы) + если началось у многих значит причины не лично к нам
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4396



« Ответ #5 : 11.03.2015, 02:03:48 »

Возможная цель: Яндекс банит за накрутку поведенческих факторов. Накрутчики поведенческих факторов таким образом пытаются защитится: накручивают сайты клиентов вперемешку с сайтами, на которых не заказывали накрутку (левых).
Типа Яндекс всех не забанит. Это у них такая стратегия защиты.
« Последнее редактирование: 11.03.2015, 02:07:51 от ChaosHead » Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #6 : 11.03.2015, 11:41:49 »

Ну как написал wishligh, в форму заказа скрытое поле.человек поле не видит. а бот заполнит.
При проверке данных с формы на сервере, если скрытое поле заполнено, выход с обработки данных клиента
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #7 : 11.03.2015, 12:12:41 »

чем торгуете и сайт не мешало бы раскрыть иначе тема ни о чем
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #8 : 11.03.2015, 12:33:19 »

Возможная цель: Яндекс банит за накрутку поведенческих факторов. Накрутчики поведенческих факторов таким образом пытаются защитится: накручивают сайты клиентов вперемешку с сайтами, на которых не заказывали накрутку (левых).
Типа Яндекс всех не забанит. Это у них такая стратегия защиты.

Версия не подходит, потому что Бот блокирует передачу в Метрику и Вебвизор.
Что исключает анализ ПФ для Яндекс
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #9 : 11.03.2015, 12:40:39 »

чем торгуете и сайт не мешало бы раскрыть иначе тема ни о чем

Как писал выше выкладывать в паблик не хочу. Обычные товары, не фэйк. Сайту полгода - толком еще в индексе даже нету.
Некоторые модераторы форума уже знают мой сайт и мы боремся с проблемой.

Но это уже не суть, на Drupal уже отписались что пошли предложения на емайл такого плана:
Сегодня пришло письмо с адреса slujba.bezopasnosti2015@yandex.ru (отправлено напрямую с сайта и на два рабочих ящика):
Здравствуйте, я нашел уязвимость вашего сайта, через которую можно управлять базой данных и хостингом, могу помочь закрыть уязвимость за вознаграждение. Имеются доказательства.Если интересует напишите мне.
Какие мысли?


тоесть теперь цели ясны - вымогательство. Видимо прицел не на крупные конторы, а на небольшие. где нету больших отделов программистов или юристов ))) и наверное мысли "ну если сайт сделал, то может и поделиться баблом"
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #10 : 11.03.2015, 12:45:05 »

И мне такое письмо приходило, без всяких заказов.И на серче писали о письмах.
Почтовый ящик при домене есть ?
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3488


skype aqaus.com


« Ответ #11 : 11.03.2015, 12:49:26 »

Ой сколько мне такого приходило. Можно обратится в Яндекс. Там любят таких. Прецеденты были.
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #12 : 11.03.2015, 12:52:09 »

Ой сколько мне такого приходило. Можно обратится в Яндекс. Там любят таких. Прецеденты были.

Что значит можно обратиться в Яндекс? Поясните если возможно
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Offline Offline

Пол: Женский
Сообщений: 4723



« Ответ #13 : 11.03.2015, 12:52:22 »

Ну как написал wishligh, в форму заказа скрытое поле.человек поле не видит. а бот заполнит.
При проверке данных с формы на сервере, если скрытое поле заполнено, выход с обработки данных клиента
Эти боты не заполняют все поля без разбору, заполняют только некоторые
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #14 : 11.03.2015, 12:58:09 »

И мне такое письмо приходило, без всяких заказов.И на серче писали о письмах.
Почтовый ящик при домене есть ?

Да понятно что мошенники всегда проявляются в таких случаях. Цель поста предупредить всех что могут быть такие случаи.
И я постарался изложить что уже обнаружено в поведении атаки, а так же ссылки подтверждающие атаку на разные движки - это не уязвимости, а чистой воды эмуляция. Не удивлюсь если это делал школьник сам вручную меняя прокси и подменяя post через прогу какую-нибудь Wink
« Последнее редактирование: 11.03.2015, 16:20:47 от mister_boy » Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #15 : 12.03.2015, 12:41:58 »

Темы подняли уже и на Серче
http://searchengines.guru/showthread.php?t=888796
http://searchengines.guru/showthread.php?t=888914
« Последнее редактирование: 12.03.2015, 12:54:56 от mister_boy » Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #16 : 12.03.2015, 13:48:33 »

Охват растет http://dev.1c-bitrix.ru/community/forums/messages/forum6/topic70632/message370152/#message370152
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2657


step by step


« Ответ #17 : 12.03.2015, 14:04:08 »

Наверно выборочно. У клиента поддерживаю Битрикс ИМ- обычный ручной спам.Регистрация через подтверждение эмэйла.
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #18 : 12.03.2015, 14:21:57 »

Наверно выборочно. У клиента поддерживаю Битрикс ИМ- обычный ручной спам.Регистрация через подтверждение эмэйла.

Врят ли..

Люди с разных форумов пишут, что данные подсовывают реальные. скорее всего база какого-нибудь хакнутого (или нескольких) ИМ.
Когда звонят людям, те говорят что вы уже не первый ИМ который им звонит за эти дни на счет заказа который они не делали.

Так же один в форуме говорил, что на него ругалась тетя за спам на емайл - а спамом она как раз считала подтверждение на емайл о заказе, который не совершала. Так что просто ваш клиент не под атакой. А ручной спам в комментах или формах подписки - это уже старая тема )))

Так что походу связка Робот + База клиентов хакнутых ИМ

Что объединяет, так это что на разных движках (Друпал, ОпенКарт, Вебсист, Joomla, Битрикс) и что началось на прошлой неделе.
У многих данные не попадают в Метрику.

Отсюда я делаю вывод что заход не через дырки в движках.
Еще я понимаю что ветки начали появляться на этой неделе - так как народ только начинает гуглить проблему.
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #19 : 13.03.2015, 23:17:47 »

Продолжаем наблюдение за проблемой.
Форум Websyst http://forum.webasyst.ru/viewtopic.php?id=24257
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #20 : 14.03.2015, 13:05:36 »

@mister_boy
если у вас паника и еще нескольких владельцев им, это не значит что у кого то есть аналогичная проблема, хватит спамить сторонними ссылками
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #21 : 14.03.2015, 15:40:54 »

@mister_boy
если у вас паника и еще нескольких владельцев им, это не значит что у кого то есть аналогичная проблема, хватит спамить сторонними ссылками

у меня паники нету. я предполагал что форум это место для передачи информации, которая может быть полезна другим участникам. по ссылкам которые я кидал - есть обсуждения решений проблем. но если это считается спамом, то я не буду тратить время на поддержание этого поста. остальные читающие могут гуглить сами проблему.

вы модераторы - вам решать что спам, что нет Wink без обид. тему можете свернуть.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3534


« Ответ #22 : 14.03.2015, 21:50:24 »

у меня паники нету. я предполагал что форум это место для передачи информации, которая может быть полезна другим участникам. по ссылкам которые я кидал - есть обсуждения решений проблем. но если это считается спамом, то я не буду тратить время на поддержание этого поста. остальные читающие могут гуглить сами проблему.

вы модераторы - вам решать что спам, что нет Wink без обид. тему можете свернуть.
Там только обсуждение нет ни какого решения и если и будет то такое же как и проблема типа "оплатите и скажу", такой спам шел и будет раз в два года всплывать ни чего нового и решения давно уже имеются, но с каждым годом как и грипп, мутирует зараза и панацею меняют, все зависит от обстоятельств. И не забывайте, что для каждого сайта не может быть одного решения.
Записан
mister_boy
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 151


« Ответ #23 : 14.03.2015, 22:12:23 »

Там только обсуждение нет ни какого решения и если и будет то такое же как и проблема типа "оплатите и скажу", такой спам шел и будет раз в два года всплывать ни чего нового и решения давно уже имеются, но с каждым годом как и грипп, мутирует зараза и панацею меняют, все зависит от обстоятельств. И не забывайте, что для каждого сайта не может быть одного решения.

Написали бы "не новые и давно имеющиеся решения".
Записан
alpha-helix
Осваиваюсь на форуме
***

Репутация: +1/-0
Offline Offline

Сообщений: 69


« Ответ #24 : 17.03.2015, 16:42:26 »

У меня на нескольких сайтах тоже несколько дней назад началась подозрительная активность.
Но не заказы приходят, а заявки через формы обратной связи.
Причем на всех формах стоит CAPTCHA. Где-то ChronoForms, где-то jcomments
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet