Jeśli widniał napis "Forum nieczynne blablabla" zapewne to moja robota i wtedy próbowałem uodpornić nasze forum na ataki botnetu.
Jeśli pojawiał się "Internal Server Error" to też związane z powyższym.
A jeśli pojawiał się komunikat o braku możliwości połączenia z bazą danych, to w wyniku zmasowanego ataku na bazę danych. Jak się kilka tysięcy botów na raz chce dostać, to się serwer nie zdołał obronić
Botnet to trudne ustrojstwo, bo jak sama nazwa wskazuje to cała siatka botów łączących się z różnych zakątków świata, z różnych adresów ip. Czasami to maszyny służące tylko temu, a czasami to Bogu ducha winni użytkownicy zarażeni jakimś syfem.
Są zaprogramowane na jeden cel, a główny bot - master - daje im sygnał na czym mają się skupić.
Zassałem z netu listę adresów ip podejrzanych o bycie w siatce botów.
Baza tych IP ma ponad 120 tyś. adresów.
Teraz kwestia odpowiedniego użycia pliku i powinniśmy znacznie odciążyć forum.
Może się jednak zdarzyć, że wśród podanych IP są i Wasze.
Wtedy będziemy wyjmować spod kontroli pojedyncze przypadki.
Nie wiem czy zwykły user ma taką opcję, ale przy edycji danych w profilu,
na dole administrator widzi ilość błędnych logowań i IP ostatniego nieudanego logowania.
Pobieżnie sprawdziłem niektóre zgłaszane przypadki i każdy z nich zawierał się w/w bazie adresów siatki botów
A jak działa taki bot?
Najprostszy schemat to wyszukiwanie sobie nazw użytkowników z postów ogólnodostępnych for/podfor, np. porady techniczne, offtopic, itp. itd.
Następnie odpowiednio spreparowany link do panelu logowania.
Wysyłanie wcześniej znalezionego loginu i próba odgadnięcia hasła metodą słownikową.
Dlatego jeśli ktoś ma proste hasło, to jest duże prawdopodobieństwo, że zostanie ono złamane. Stąd prośba o używanie "trudnych haseł". np. "Ci6_39nu.2r".
Oczywiście zapamiętanie może sprawiać trudności, ale od czego opcja "autologowania"
Po co ta zabawa?
Ano dla podtrzymania idei spamu
Bot po zalogowaniu ma dostęp do maila użytkownika, może wpisać w pole "strona www" dowolną stronę w celach czysto marketingowych, to samo dotyczy stopki. W najgorszym wypadku może zacząć na czyjeś konto pisać posty reklamowe.
Klubowicze, którzy wypełnili pola w profilu, mogą przy tej okazji pokazać PESEL.
Ale to raczej botów nie interesuje.
Walka z botnetem jest trudna i tak naprawdę wygranie jej zależy od ilości osób zaangażowanych w walkę z nim. Jeśli na bieżąco będzie się zgłaszać adresy IP w bazach antyspamowych, to jest szansa na zminimalizowanie skutków ataku.
W tej chwili my jako roverki.pl nie posiadamy takiej bazy.
Posiłkowałem się tym co w necie jest, z dnia 11.01.2011.
Być może kiedyś w przypływie odrobiny wolnego czasu, stworzę bazę tego co posiadamy, użytkownik będzie mógł sprawdzić czy dany ip już jest. Jeśli nie, będzie mógł go dodać.
Niektórych mogło irytować 10 min. blokada konta. Niestety, to dla bezpieczeństwa Waszych danych. Gdyby tego nie było, pewnie w którymś momencie bot trafiłby na Wasze hasło.
Jedną z metod walki z tym procederem jest potwierdzanie logowania, przepisaniem wartości z obrazka lub podawanie wyniku prostych operacji matematycznych.
Wyłącza się wtedy "szybkie logowanie" i dodaje tę opcję. Jednak na dłuższą metę, może być to b. uciążliwe. Ta metoda oczywiście nie jest w 100% skuteczna, ale na pewno przeszkodzi botom.
Na dziś dzień posiadamy dość dobry filtr antyspamowy dotyczący rejestracji bota i pisania postów o charakterze spamowym. Na logowanie nie mamy
Pozdrawiam,
_________________ Chiptuning: R25, R45, R75, 200/600 SDi, BMW (tuning, dpf serwis), VW Group (tuning, dpf serwis)
ROVER 75/ZT: diagnostyka, kodowanie, adaptacja zegarów, dodawanie kluczyków: używane piloty, nowy transponder (immo)
Kontakt: PW, 512 208 367, marek@roverki.eu
A ja wczoraj od godzin popołudniowych w ogóle nie logowałam się na nasze forum, a dzisiaj w poczcie otrzymałam wiadomość tej treści:
"Witaj Roma_B
Skrypt wykrył wielokrotną próbę błędnego logowania (5) na twoje konto, na Forum Klubu ROVERki.pl i zablokował je czasowo w celach bezpieczeństwa. Konto będzie z powrotem
aktywne Sro 12. Sty, 2011 06:59:31.
Jeśli to nie Ty próbowałeś/aś się logować, skontaktuj się z
administratorem i poinformuj go o zdarzeniu."
Dołączył: 09 Kwi 2009 Posty: 307 Skąd: Grabów nad Prosną
Wysłany: Sro Sty 12, 2011 17:37
Boty to cholerstwo. Miałem do czynienia kiedyś z takimi, które zakładały masowo konta i masowo spamowały w większości tematów na forum linkami. Praktycznie w 99% były to linki do stron xxx..
Skrypt wykrył wielokrotną próbę błędnego logowania (5) na twoje konto, na Forum Klubu ROVERki.pl
i zablokował je czasowo w celach bezpieczeństwa. Konto będzie z powrotem aktywne Wto 11. Sty, 2011 03:28:06
Jeśli to nie Ty próbowałeś/aś się logować, skontaktuj się z administratorem i poinformuj go o zdarzeniu.
_________________ Pozdrawiam Andrzej
Rover 800, byl 214 Si 95
FSO 125p 1.4 16V MPI
Jawa 350
Od 9:30 dnia dzisiejszego dopisany jest skrypt, który za pomocą pewnych mechanizmów wyłapuje bot'a i od razu blokuje jego adres IP na 40 min.
Może się zdarzyć, że ktoś zauważy 1 lub 2 próby nieudanego logowania, jednak 3 - 5 będą już sporadycznym przypadkiem. Chyba, że botnet nauczy się oszukiwać i ten skrypt w co nie wątpię
Na razie skutecznym będzie chyba dopisanie do skryptu logowania formułki, która przy nieudanych trzech próbach, czwartą będzie chciała zautoryzować przy pomocy obrazka.
Zakładam, że na autoryzacji bot się wysypie i nie przejdzie dalej.
Jednak osoba, która była celem ataku, przy próbie zalogowania się na forum otrzyma prośbę odczytu kodu z obrazka.
A mimo to, proponuję używać "trudnych" haseł
Pozdrawiam,
_________________ Chiptuning: R25, R45, R75, 200/600 SDi, BMW (tuning, dpf serwis), VW Group (tuning, dpf serwis)
ROVER 75/ZT: diagnostyka, kodowanie, adaptacja zegarów, dodawanie kluczyków: używane piloty, nowy transponder (immo)
Kontakt: PW, 512 208 367, marek@roverki.eu
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Nie możesz ściągać załączników na tym forum
Drugi raz już 
