0 Пользователей и 1 Гость просматривают эту тему.
  • 24 Ответов
  • 2891 Просмотров
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Привет всем!

Обращаю внимание что стал жертвой атаки ботов. Готовьтесь - они могут придти и к вам!
Воюю второй день уже. Собираю инфу.

Симптомы:
1) Приходят заказы которых не осуществляли люди (спам заказами)
2) Боту плевать на обязательные поля и js скрипты форматов (явно идет подмена post запросов)
3) Заказы формируются не одинаковые - изменяются выбор Доставки, Оплаты, Адреса, ФИО, товаров
4) Анализ лога сервера (в моем случае) заходят с ПС в каталог, кликают товары и после оформляют заказ
5) Город в заказе не такой как по IP
6) Приходы с разных компов (апплы, винды)
7) Атака идет на разные движки (уже точно известно что Drupal и OpenCart в их числе) - тоесть движок не важен

Подтверждение ситуации из других форумов
http://www.drupal.ru/node/116107
https://opencartforum.com/topic/44807-%D1%84%D0%B5%D0%B9%D0%BA%D0%BE%D0%B2%D1%8B%D0%B5-%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D1%8B/

Кто стал жертвой - давайте обсуждать возможные решения. Кто хочет в ЛК.

UPD1: Рекламу на стороне не заказывал. Тоесть накручивать заказы левые кому то нету смысла.
UPD2: Добавилась ветка по проблеме на Серче http://searchengines.guru/showthread.php?t=888796
UPD3: Серч #2 http://searchengines.guru/showthread.php?t=888914
UPD4: Форум Битрикса http://dev.1c-bitrix.ru/community/forums/messages/forum6/topic70632/message370152/#message370152
UPD5: Websyst http://forum.webasyst.ru/viewtopic.php?id=24257
« Последнее редактирование: 13.03.2015, 22:17:06 от mister_boy »
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
cloudflare + скрытый дропбокс или что-то вроде.
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
cloudflare + скрытый дропбокс или что-то вроде.

я не Гуру ))) если можно по подробнее что это?
*

voland

  • Легенда
  • 11031
  • 588 / 112
  • Эта строка съедает место на вашем мониторе
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
А сайт можно увидеть?

Паранойя у меня уже небольшая. Сайт в паблик не буду выкладывать. В ЛК если нужно.
Как я уже выяснил это не дырка движков - на многих движках идет на этих днях атака. Началось у многих пару дней назад как и у меня.
Это эмуляция пользователей или заказ типа Userator

Цели пока не ясны. У нас молодой сайт - трафика нету

Из идей:
1) Обкатывают бота для атаки на крупных
2) Выкатят условия после атак
3) Происки конкурентов - но мы пока не конкуренты (мелкие мы) + если началось у многих значит причины не лично к нам
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Возможная цель: Яндекс банит за накрутку поведенческих факторов. Накрутчики поведенческих факторов таким образом пытаются защитится: накручивают сайты клиентов вперемешку с сайтами, на которых не заказывали накрутку (левых).
Типа Яндекс всех не забанит. Это у них такая стратегия защиты.
« Последнее редактирование: 11.03.2015, 01:07:51 от ChaosHead »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Ну как написал wishligh, в форму заказа скрытое поле.человек поле не видит. а бот заполнит.
При проверке данных с формы на сервере, если скрытое поле заполнено, выход с обработки данных клиента
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
чем торгуете и сайт не мешало бы раскрыть иначе тема ни о чем
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Возможная цель: Яндекс банит за накрутку поведенческих факторов. Накрутчики поведенческих факторов таким образом пытаются защитится: накручивают сайты клиентов вперемешку с сайтами, на которых не заказывали накрутку (левых).
Типа Яндекс всех не забанит. Это у них такая стратегия защиты.

Версия не подходит, потому что Бот блокирует передачу в Метрику и Вебвизор.
Что исключает анализ ПФ для Яндекс
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
чем торгуете и сайт не мешало бы раскрыть иначе тема ни о чем

Как писал выше выкладывать в паблик не хочу. Обычные товары, не фэйк. Сайту полгода - толком еще в индексе даже нету.
Некоторые модераторы форума уже знают мой сайт и мы боремся с проблемой.

Но это уже не суть, на Drupal уже отписались что пошли предложения на емайл такого плана:
Сегодня пришло письмо с адреса slujba.bezopasnosti2015@yandex.ru (отправлено напрямую с сайта и на два рабочих ящика):
Здравствуйте, я нашел уязвимость вашего сайта, через которую можно управлять базой данных и хостингом, могу помочь закрыть уязвимость за вознаграждение. Имеются доказательства.Если интересует напишите мне.
Какие мысли?


тоесть теперь цели ясны - вымогательство. Видимо прицел не на крупные конторы, а на небольшие. где нету больших отделов программистов или юристов ))) и наверное мысли "ну если сайт сделал, то может и поделиться баблом"
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
И мне такое письмо приходило, без всяких заказов.И на серче писали о письмах.
Почтовый ящик при домене есть ?
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Ой сколько мне такого приходило. Можно обратится в Яндекс. Там любят таких. Прецеденты были.
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Ой сколько мне такого приходило. Можно обратится в Яндекс. Там любят таких. Прецеденты были.

Что значит можно обратиться в Яндекс? Поясните если возможно
*

ELLE

  • Глобальный модератор
  • 4510
  • 893 / 0
Ну как написал wishligh, в форму заказа скрытое поле.человек поле не видит. а бот заполнит.
При проверке данных с формы на сервере, если скрытое поле заполнено, выход с обработки данных клиента
Эти боты не заполняют все поля без разбору, заполняют только некоторые
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
И мне такое письмо приходило, без всяких заказов.И на серче писали о письмах.
Почтовый ящик при домене есть ?

Да понятно что мошенники всегда проявляются в таких случаях. Цель поста предупредить всех что могут быть такие случаи.
И я постарался изложить что уже обнаружено в поведении атаки, а так же ссылки подтверждающие атаку на разные движки - это не уязвимости, а чистой воды эмуляция. Не удивлюсь если это делал школьник сам вручную меняя прокси и подменяя post через прогу какую-нибудь ;)
« Последнее редактирование: 11.03.2015, 15:20:47 от mister_boy »
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
« Последнее редактирование: 12.03.2015, 11:54:56 от mister_boy »
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Наверно выборочно. У клиента поддерживаю Битрикс ИМ- обычный ручной спам.Регистрация через подтверждение эмэйла.
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Наверно выборочно. У клиента поддерживаю Битрикс ИМ- обычный ручной спам.Регистрация через подтверждение эмэйла.

Врят ли..

Люди с разных форумов пишут, что данные подсовывают реальные. скорее всего база какого-нибудь хакнутого (или нескольких) ИМ.
Когда звонят людям, те говорят что вы уже не первый ИМ который им звонит за эти дни на счет заказа который они не делали.

Так же один в форуме говорил, что на него ругалась тетя за спам на емайл - а спамом она как раз считала подтверждение на емайл о заказе, который не совершала. Так что просто ваш клиент не под атакой. А ручной спам в комментах или формах подписки - это уже старая тема )))

Так что походу связка Робот + База клиентов хакнутых ИМ

Что объединяет, так это что на разных движках (Друпал, ОпенКарт, Вебсист, Joomla, Битрикс) и что началось на прошлой неделе.
У многих данные не попадают в Метрику.

Отсюда я делаю вывод что заход не через дырки в движках.
Еще я понимаю что ветки начали появляться на этой неделе - так как народ только начинает гуглить проблему.
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Продолжаем наблюдение за проблемой.
Форум Websyst http://forum.webasyst.ru/viewtopic.php?id=24257
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
@mister_boy
если у вас паника и еще нескольких владельцев им, это не значит что у кого то есть аналогичная проблема, хватит спамить сторонними ссылками
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
@mister_boy
если у вас паника и еще нескольких владельцев им, это не значит что у кого то есть аналогичная проблема, хватит спамить сторонними ссылками

у меня паники нету. я предполагал что форум это место для передачи информации, которая может быть полезна другим участникам. по ссылкам которые я кидал - есть обсуждения решений проблем. но если это считается спамом, то я не буду тратить время на поддержание этого поста. остальные читающие могут гуглить сами проблему.

вы модераторы - вам решать что спам, что нет ;) без обид. тему можете свернуть.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
у меня паники нету. я предполагал что форум это место для передачи информации, которая может быть полезна другим участникам. по ссылкам которые я кидал - есть обсуждения решений проблем. но если это считается спамом, то я не буду тратить время на поддержание этого поста. остальные читающие могут гуглить сами проблему.

вы модераторы - вам решать что спам, что нет ;) без обид. тему можете свернуть.
Там только обсуждение нет ни какого решения и если и будет то такое же как и проблема типа "оплатите и скажу", такой спам шел и будет раз в два года всплывать ни чего нового и решения давно уже имеются, но с каждым годом как и грипп, мутирует зараза и панацею меняют, все зависит от обстоятельств. И не забывайте, что для каждого сайта не может быть одного решения.
*

mister_boy

  • Захожу иногда
  • 178
  • 2 / 0
Там только обсуждение нет ни какого решения и если и будет то такое же как и проблема типа "оплатите и скажу", такой спам шел и будет раз в два года всплывать ни чего нового и решения давно уже имеются, но с каждым годом как и грипп, мутирует зараза и панацею меняют, все зависит от обстоятельств. И не забывайте, что для каждого сайта не может быть одного решения.

Написали бы "не новые и давно имеющиеся решения".
*

alpha-helix

  • Захожу иногда
  • 80
  • 1 / 0
У меня на нескольких сайтах тоже несколько дней назад началась подозрительная активность.
Но не заказы приходят, а заявки через формы обратной связи.
Причем на всех формах стоит CAPTCHA. Где-то ChronoForms, где-то jcomments
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Внимание, новый антивирус от ipsmanager, просите хостеров установить

Автор Mehanick

Ответов: 4
Просмотров: 1644
Последний ответ 23.06.2018, 18:54:14
от Mehanick
Вопросы по атакам, взломам и защита от этого

Автор bgg87

Ответов: 8
Просмотров: 1417
Последний ответ 30.06.2014, 21:33:49
от bgg87