Stressweb - брутят
Собственно добрый день, хотел бы предупредить администраторов l2 серверов о том что на данный момент существует и активно распространяется брут аккаунтов через SW любой версии.
Брут происходит автоматически, методом распознавания капчи, распознавание довольно хорошего уровня, защита типа "Click me" у капчи тоже обходится. Брут многопотоковый, довольно быстрый 2-5 аккаунтов в секунду. Метод защиты от брута смена стандартной капчи ( файл antibot.php ). Самый простой вариант изменить шрифт на уникальный!(желательно анг. раскладки, чтоб не было проблемно для тех у кого нет рус. языка) Шум типа полоски, точки и т.п. не рекомендую - довольно плохо для пользователей, шумы убираются легко. Рекомендую использование наклонение, скручивание символов и их "слипание" друг с другом. Не сочтите за рекламу, но данная статья довольно познавательная: http://intsystem.org/295/analiz-captcha-algorithms/ В интернете очень много статей по поводу создания своей капчи, поэтому без труда найдете в гугле яндексе, или где там еще ищете)) P.s. не забывайте сделать резервную копию старой antibot.php чтоб в случае неудачного создания своей капчи можно было вернуть прежнюю. Брут выкладывать не буду, кто желает провести "тест" на своем СВ - можете отписать мне в пм. |
Re: Stressweb - брутят
Видел эти брутеры, есть два варианта (платный и бесплатный),автор одного из них админ l2mad'a, который как не которые помнят недавно пытался тут срубить денег с NotSpecified'a.
По мне так лучше вообще убрать авторизацию лк с сайта и сделать нечто подобное, http://gyazo.com/8096eb7ff4c08cd25a45ff5bcffbe09b. |
Re: Stressweb - брутят
3 раза неверно ввёл акк = бан на определенное время
выставить ограничение на кол-во подключений в конце концов ввести префиксы... |
Re: Stressweb - брутят
Платная и бесплатная? Не вы о другом подумали, со слов автора брута его бесплатный брут эффективней той "платной" версии о которой вы имели ввиду в 4 раза... И распространяется он под весьма высоким хайдом.
|
Re: Stressweb - брутят
MrFresh, Я привёл методы защиты от брута :)
Лично у меня был префикс по желанию. То есть не хочешь аккаунт с префиксом, будь добр отвечай за него сам. При взломе такого аккаунта я ссылался на принятие ответственности на себя и ничего не делал. Я не в курсе кто там и что распространяет, мне пофиг на это :) |
Re: Stressweb - брутят
Цитата:
1. В стрессе уже есть такая функция, меняем php session id и у нас нет бана, если ввести бан по айпи, будут использовать прокси. 2. Будет банить обычных пользователей, т.к. они любят открывать кучу страничек ну и можно будет просто уменьшить кол-во потоков, что лишь не надолго увеличит процесс брута или опять же использовать прокси. 3. Более менее нормальный вариант, но всё равно не 100% гарантия. Имеем к примеру базу на 10к. акков, при реге можно выбрать один из 10 префиксов, добавляем к каждому логину эти 10ть префиксов, в итоге время брута увеличится в 10ть раз (это где то +1,2 часа), но желанный результат получим. Можно конечно сделать что бы префикс выдавался рандомно и было 200+ вариантов, но будет куча жалоб о том "админ я забыл мой префикс". По этому ещё раз повторяю по мне самый надёжный вариант, убрать авторизацию на сайте и сделать основные функции лк без неё -) |
Re: Stressweb - брутят
pickwick,
у меня префикс рандомно генерится. Да и не только у меня. Разве суть префикса на в его рандомности? |
Re: Stressweb - брутят
Я видел лишь пару сайтов где при реге был префикс и у всех можно было выбирать один из вариантов. Один из минус радномного метода я уже назвал, не говоря уже о том что игроков будет напрягать вводить каждый раз префикс -)
|
Re: Stressweb - брутят
pickwick, перечитай моё сообщение. У меня префикс по желанию.
Есть чекбокс "Использовать префикс ***" Если снять галочку, то выскочит блок с таким вот информационным сообщением, где текст написан красным цветом: "Внимание! Если вы отказываетесь использовать префикс, то ваш аккаунт теряет техническую поддержку со стороны администрации. Ознакомьтесь с дополнительной информацией здесь." И всё. Никаких проблем нет :) |
Re: Stressweb - брутят
Я же написал что префикс это норм вариант но со своими минусами -)
А ты мне пытаешься что то доказать, как будто я сказал что "это га*но да и сам ты к*кашко" :) |
Текущее время: 19:55. Часовой пояс GMT +3. |
Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot