Čaute, riešenia proti spamu pomocou CAPTCHA a registrácie sú verejne známe, ale pokúšali ste sa niekedy vyjsť užívateľom v ústrety a aplikovať nejaký filter?
Existujú platené služby ktoré vám poskytnú API k databáze spambotov. Prípadne si ich môžete vytvoriť aj sami. Stačí pred spustením domény ju niekde spropagovať s fake podstránkami, mesiac zbierať dáta a potom ich zabanovať.
No otázka znie, či už banujete IP cez platené služby, svojho antispambota, alebo ručne s 99% pravdepodobnosťou banujete bežných užívateľov MS Windows, krtorí sa nevedome stali súčasťou botnetu.
Banovaním si určite odrežete užívateľov, nebanvaním treba všetko ručne mazať.
Ako to riešite vy?
Davat permbany na IPcky je nezmysel. Za hodinu moze mat hriesnik inu IP, navyse vzdy moze vyuzit proxy.
Na sieti nad ktorou mam plnu podporu a presne viem ake sluzby tam mozu bezat, mam zabanovane IPcky z cinskeho, indonezskeho a ruskeho rozsahu na urovni firewallu. To ze zamestnanci nebudu stahovat zavirovany warez z ruskych stranok je bonus :)
Z tychto rozsahov mi behalo dost vela bordelu a tento zasah pomohol, ale ako vravim, je to vhodne iba pri velmi specifickom pouziti a admin si musi byt isty, ze s tymito rozsahmi nechce mat nic spolocne.
Inak asi kombinacia docasneho banu + premazavanie, pripadne vyzadovane schvalenie prispevkov adminom na neoverenych uctoch pred uverejnenim (podobne to riesi wordpress).
Je zaujímavé ako sa majitelia (väčšiny) spambotov naučili kde má zmysel spamovať, napríklad americký spamboti už úplne zmizli a sústredia sa len na americký kontinent. Zato rusy v nás vidia potencionálnych zákazníkov. No a Ázia, tak tá spamuje celý svet, majú dobré ceny :)
Naučil som spambotov spamovať do fake formulára, sám som zvedavý koľko im potrvá až na to prídu. Som zvedavý či to nerobia formou túto stránku už spamujeme, tak nekontrolujeme že sa to míňa účinku.
Zablokovanie rusov a Ázie by určite stačilo, no keď človek nechce nikoho odrezať.
Co sa tyka formularov, moja skusenost je, ze default formulare najpouzivanejsich cms systemov su napadane dost vela. Staci vsak pouzit nieco nestandardne a spamovanie cez formulare prestane. Ja bud pouzivam pluginy urcene na formulare alebo uplne najlepsie sa mi osvecil google form.
Co sa tyka registracie, to uz je iny oriesok. Plati podobne co hore - pouzitie standardneho cms systemu umiestneneho priamo na domene je uplna katastrofa. V tom pripade odporucam monitorovat pocet pokusov prihlaseni a blokovat IP na urcity cas. To dost pomaha. Potom su servre, ktore neustale skusaju skenovat web, tie IP uplne zakazujem. Tiez som si myslel, ze spamery menia casto IP, ale neni az take hrozne. Ak monitorujete pocet pokusov prihlaseni a pocet 404 stranok, postupne dokazete vybudovat celkom ok filter.
Este aby som dodal, na samotnu registraciu pouzivam CAPTCHA vzdy. Bez toho to bola uplna katastrofa. Na Login CAPTCHA nepouzivam.
Ja to momentálne robím, len ako sociálny prieskum.
Farma botov sa naučila odosielať dáta do fake formulára, zatiaľ žiadny nezistil že to nič nerobí a oficiálny vstup som nechal neošetrený a čakám koľko bude trvať kým to zistia. Použiť CAPTCHA je nepokrokové a nevedecké :)
Keby mal každý povolený JS bolo by to ešte jednoduchšie, detekoval by som klávesnicu a myš.
No, to som zvedavy na co prides. Ja som koli tomuto musel prejist na vlastne servre. Sa mi uz 2x stalo, ze mi websupport.sk zablokoval koli botom moje webstranky. Websupport to neriesi, resp riesia to tak, ze zakazu pristupy zo sveta a je im uplne jedno, ze vam tym vlastne vypnu web. Prvy krat mi to spravili dokonca na platiacich zakaznikoch, druhy krat na inej domene, akurat ked som bol na dovolenke. Myslel, ze taketo veci prave profesionalne hostingove sluzby maju nejako vyriesene.
Websupport sa dostal už medzi veľkých hráčov ktorí malé problémy nerieši.
Určite nevymyslím nič preborné, robím to viac menej len pre svoje poznatky, ako rýchlo dokážu spamboti zistiť podvod.
Keby som chcel odrezať užívateľov bez JS tak to vyriešim hravo, len toto by som nerád.
Ja som bol prave prekvapeny, ze Websupport to neriesi. Aj tyto boti totiz sposobuju problem, ktory Websupport nazval "Vysoka IO zataz webovskej stranky" a koli tomu mi vypli web - citujem z ich emailu: "Ziadame vas tuto zataz znizit, pretoze takto pre nas zdielany hosting predstavuje riziko stability, dostupnosti a vykonu.". Co ma vsak prekvapuje je, ze takto napadana musi predsa byt vacsina webstranok, ktore hostuju, cize neviem ako to potom riesia pri ostatnych.
Pokiaľ tam bol veľký trafik, tak si z toho servra hackeri spravil proxinu. Poznám človeka ktorému sa to tiež stalo a bol tam obrovský trafik, proste nonstop maximum. To poskytovateľa hostingu môže naštvať.
Trafic nebol velky - skor to fungovalo v navaloch. Ked som si pozeral logy, tak som videl jasne, ze sa bud pokusaju pristupovat do login.php alebo, ze skenuju tie webstranky. Niektore dni to bolo OK, ine dni to vyskocilo. Nevidel som tam ziadny kontinualny podozrivy trafic. Ked som to premiestnil na moj vlastny server, stacilo limitovat pocet pokusov o prihlasenie a to eliminovalo 90% problemov, CPU zataz mojho jednoducheho virtualneho servera klesla z castych 100% na ustalenych pribliznych 5%. Uplne rozumiem, ze poskytovatela hostingu to stve, len som proste prekvapeny, ze uz oni sami nedokazu (alebo nechcu) tieto podozrive pristupy monitorovat a eliminovat.
Ja sa do toho moc nevyznam, ale nebol by som prekvapeny, keby hackeri proste zobrali zoznam domen, preskenovali ich aby zistili aky cms system sa tam pouziva a potom sa ich pokusali hacknut. To by vsak znamenalo, ze by sa pokusali hacknut vacsinu stranok hostovanych na servroch akehokolvek providera, zjavne to tak nie je - neviem presne preco Websuport ma problemy vyslovene len z mojimi strankami, mozno sa hackery nepokusaju napadnut malo navstevovane stranky, alebo stranky z domenamy ako .sk. To fakt neviem. Websuport zjavne najviac vadilo to, ze na moje stranky pristupuju ludia z celeho sveta - vratane roznych botov.
To nebudeš sám a určite rovnako postupujú voči komukoľvek inému. Skenovanie stránok samozrejme nijak neovplyvníš a za toto ťa nemôžu odstaviť. Pokiaľ to spravili tak to je pre nich ďalší klinec do rakvy.
Celkovo to upadlo odkedy tam striptérky robia helpdesk, ani magické slovo "Shibboleet" nezaberá.
Tak som teraz o jedno slovo mudrejsi :)
Ja som nad tym websupport premyslal. Cely problem je podla mna v tom, ze som mal u nich takzvany "unlimited" hosting, ktory oni zjavne chcu poskytovat len ludom, ktori ho nikdy nedokazu vyuzit.
Len tak pre zaujimavost, tu si mozete precitat co mi poslali:
Vážený zákazník,
na hostingu yyyyy.com sme zaznamenali zvýšenú I/O záťaž, ktorá predstavuje počet prístupov k vašim hostingovým súborom.
Hodnota I/O záťaže za včerajší deň je 306375282.
Priemerná hodnota webov, ktoré hostujeme je 180000, medián je 40000
Znamená to pravdepodobne, že vaša stránka, alebo jej časť, zažíva vysokú návštevnosť. Stránka môže byť napadnutá, alebo je len neoptimálne napísaná, či nastavená. Bližšie informácie o I/O záťaži a o tom, ako ju znížiť nájdete na našej wiki stránke http://support.websupport.sk/588246-Čo-robiť-ak-má-môj-hosting-vysoké-IO-záťaže</a>
Viacej informácií o čistení napadnutého CMS je tiež na našom webe - http://support.websupport.sk/948274-CMS-systémy
Žiadame vás túto záťaž znížiť, pretože takto pre náš zdieľaný hosting predstavuje riziko stability, dostupnosti a výkonu. Po troch dňoch budeme meranie opakovať. Ak sa záťaž neupraví, hosting premigrujeme na špeciálny webovský server, kde bude mať k dispozícii len obmedzené zdroje a bude sa naň dať pristupovať len zo stredo-európskych adries. Zvážte tiež presun na vyššiu formu hostingu ako je vlastný Virtuálny, alebo Dedikovaný server.
S pozdravom,
Admin tím Websupport
Ahoj,
unlimited hosting na websupporte je v tom, ze tam mozes namackat neobmedzene vela dat, co suvisia s webom, ne o tom, ze tam mozes mat vyhackovany web co postrebuje vsetky zdroje serveru. Ta hodnota je uplne ustrelena, to znamena, ze tvoj web robi uplne sialenosti na disky - casto je to prave vyhackovanym webov.
Preto sa taketo weby shapuju / neskor blokuju, pretoze 1 klient dokaze oplyvnit napr 1000 dalsich pripadne dostat cely /24 rozsah na blacklisty. To nie je o tom,z e by nik nechcel riesit problemy jednotlivcov, ale o tom, ze ludia si neaktualizuju CMSka a potom posielaju spamy a robia neplechu na internete a ohrozuju tym dalsich ludi.
Tomas, v predchadzajucich prispevkoch som vysvetlil v com bol problem. Stranka nie je vyhackovana. Problem bol v tom, ze sa ju pokusali stale nejake boty napadnut. Co sa mi zda zvlastne je, preco Websupport vo vlastnom zaujme taketo boty nevie identifikovat, casovo blokovat, pripadne uplne eliminovat uz na serverovej urovni a ochranit tak vsetky weby naraz? Ako je mozne, ze Bedna sa tym zaobera a chce to riesit pre svoj web a hostingova spolocnost ako websupport sa takymi vecami nezobera? Tomas, mne sa to zda zvlastne povedat si, zakazme pristup na vsetky login.php, zakazme pristup z ciny, z ruska, ... zda sa mi to amaterske a kratkozrake riesenie, najme pre webhostingovu spolocnost.
Viete ake je to neprijemne zobudit sa a zistit, ze zakaznici z USA, nemaju pristup k sluzbam, za ktore si zaplatili $800 dolarov, a to len preto, ze niekto vo Websupport sa cez noc rozhodne zablokovat pristupy mimo EU, bez toho aby ho vobec napadlo, ze mozno hostujete aj weby ktore su pouzivane na celom svete? Viete ake je to neprijemne, zobudit sa na dovolenke a zistit, ze je zakazany web, ktory potrebujete aby bezal 24/7? Je to dost neprijemne, viem o com hovorim, lebo ste mi to uz dvakrat spravili.
A? Aj taki su vasi zakaznici. Deal with it. Malo by byt vo vasom vlastnom zaujme tymto ludom pomoct. Nikdy vas nenapadlo, ze si neaktualizuju CMS, lebo to mozno nevedia? Nikdy vas nenapadlo, ze vyuzivaju vase sluzby, pretoze si nevedia spravit vlastny server a dostatocne ho ochranit? Viem, ze zbavit sa ich moze vyzerat ako jednoduche a lakave riesenie, ale ja by som bol opatrny. Aj takyto pristup ku zakaznikom pomaha vytvarat image vasej firmy, ale to urcite viete, skor by som povedal, ze uz vas to az tak velmi nezaujima. Bodaj by som sa mylil.
Websupport nemá ani najmenší problém limitovať počet aktívnych spojení povedzme na 5 z jednej IP adresy na IP adresu daného hostingu. Má to však viacero háćikov. Odrezali by ľudí čo sú schovaný za NATom (WiFi AP v kaviarni, ľudí v práci a študentov v śkolách/na intrákoch, domácich uźívateľov ktorí platia za intranet, ...) a aj ľudí čo majú rýchly internet (nad 50Mbit/s) a prednačítavajú si objekty zo stránok vo viac ako piatich vláknach. Ďalší háčik je ten, že sa niečo také dá elegantne urobiť len ak máš vlastnú cieľovú IPku, a to asi nesplní unlimited hosting za 5Eur.
Systémové riešenie podobného razenia sa kedysi používalo aj na tomto portáli, len ten samotný modul žral skoro toľko prostriedkov ako boti ktorých mal zablokovať. Obdobné riešenia ako napríklad Fail2ban tiež veľa krát napáchajú viac škody ako osohu. A ak odrezali nejaký segment (REJECT v IPTABLES) alebo rovno presmerovali DDOS na ich vstupe aby im nezahltil linky, tak použili štandardné riešenie ktoré sa s úspechom používa už dlhú dobu u veľa poskytovateľov.
Ak chceš aby si mal dostupnosť servra nad 95% a aby si mal aj aplikačnú podporu u dodávateľa, tak sa priprav na faktúrky ktoré sú vyššie o niekoľko rádov ako mal websupport. Nie o jeden alebo dva, ale o tri a viac.
PS: Inkasovať od zákazníka 800USD a používať hosting za 5Eur je dosť slušná ryža. Môžem sa opýtať či si tú sumu inkasoval za mesiac, rok alebo za 5r štúdium?
Naozaj neviem ako to riesia ine webhostingove spolocnosti, ale uprimne, ked ja na vlastnom servery musim riesit ako blokovat taketo skodlive pristupy bez toho aby som obmedzil webstranky alebo ich uzivatelov (a nie len ja, vid nazov tejto diskusie), myslim, ze websupport by to mal zvladnut tiez.
To ze ponukaju "unlimited" hosting za 5 EUR, to ja za to nemozem. Oni si zvolili taku cenovu politiku. Ja viem presne kolko take sluzby stoja, kedze za servre platim priblizne 200 dolarov / mesacne. Websupport som pouzival na pokusne stranky, par projektov sa vyvinulo k lepsiemu a prave po tych tazkostich s Websupport som ich musel presunut.
PS: Nasi zakaznici neplatia 800USD za hosting. Robime Online kurzy. Dlzka kurzu je 6-10 tyzdnov.
Obrat 800USD pri jednom študentovi za 6 až 10 týždnov s nákladmi 5Eur na hosting, to je slušná ryža. Súcitím s Tebou, stalo sa mi nieco podobné. Oslovila ma slecna pri slovnafte, že kompletka za 50Eur, tak som ju zobral na barák. Strechu mi nechcela opravit a ani vymalovat fasádu. To predsa nemohla byt kompletka ako mi vravela. Asi som mal dávat pozor ked spomínala tozsah služieb.
Ale úprimne Ti poviem. Síce plávaš v komercnej sfére, ale máš zaujímavý prístup. Ponúkneš zdarma, po lahkej skúške železo na hranie pre mladasov (tiež niesom najmladší) aby si rozšíril portfólio svojich služieb. A obrátil si sa v tejto otázke aj na správu portálu kde hladáš podobné ochrany ako sú implementované napríklad aj tu. Verím že sa dohodneš na rozsahu služieb a aj na cene s ludmi co sa tu vyskytujú. Len neverím že to pokryje 5E za mesiac. To je tak dve až tri hodiny za kasou v obchode, a do tej platby sa majú zmestit aj réžijné náklady za hosting (zlomok servera, diskov, siete a zálohy). Tých smiešnych 5E naozaj nevyzerá reálne na kompletnú podporu zahrnajúcu aj rozbor prístúpov kôli odfiltrovaniu akýchkoľvek útokov. Ak by to aj niektorý poskytovateľ mal v automatickom portfóliu, tak nie za tak malú cenu keďže Ty potrebuješ aj manuálny rozbor kôli študentom z celého sveta.
Tomas, a aby ste este videli ako sa komunikuje s Websupport, tu je priklad:
Moj email do Websupport:
Odpoved z Websupport:
Asi to nepotrebuje ziadny komentar.
Klasika websupport. To support by si mali odstranit z nazvu. A ja som mal este minuly rok neprijemnu situaciu snimi. Support ako ma byt.
Pridám aj ja.
Heh, keď som sa ich pýtal kto je ten "helpdesk team", tak mi povedali, že oni to odsali ako team. Tak som sa ich pýtal či fakt všetci stlačili ENTER na odoslanie správy a že dokonca aj ľudia od Google sa vedia podpísať a to je iná technologická kapacita. Na čo už nedokázali odpovedať.Myslim, ze tie emaily co su automaticky generovane su podpisane ako "S pozdravom, Admin tím Websupport". Tie co odpise skutocny clovek asi uz podpisuju - aj tento email bol podpisany, ale som tam nechcel nechavat meno toho chalana, tak som ho vymazal.
Pravdepodobne máš úplnú pravdu, a odpoveď bola generovaná automaticky podľa kľúčového slova. Predsa len, za tú cenu človek nemôže čakať že sa o neho budú starať ako v bavlnke. Ten mesačný paušál nestačí ani na pol hodiny superhrubej mzdy brigádnika.
Len dúfam, že akcia na predĺženie zmluvy sa automaticky nevykonala. Radšej by som im zavolal, a oznámil výpoveď zmluvy ak ju nechceš predĺžiť. Len pozor, aby vrátili doménu načas, a neuniesli ju. Niektorí šuflikanti s tým robili problémy aby sa klientom neoplatilo odnich odchádzať.
Už áno, asi som nebol sám komu to vadilo. To čo som opisoval je určite aspoň dva roky dozadu.
neviem ako vy, ale ja sa najviac bojím toho, že všade bude capcha - a kto bude chcieť, zaplatí si armádu indov, ktorí urobia podobnú prácu ako spamboti...
Tí už takto fungujú dávno. Captcha prepis sa dá prenajať.