Stressweb - брутят

[MrFresh]

Собственно добрый день, хотел бы предупредить администраторов l2 серверов о том что на данный момент существует и активно распространяется брут аккаунтов через SW любой версии.

Брут происходит автоматически, методом распознавания капчи, распознавание довольно хорошего уровня, защита типа "Click me" у капчи тоже обходится.
Брут многопотоковый, довольно быстрый 2-5 аккаунтов в секунду.


Метод защиты от брута смена стандартной капчи ( файл antibot.php ).

Самый простой вариант изменить шрифт на уникальный!(желательно анг. раскладки, чтоб не было проблемно для тех у кого нет рус. языка)

Шум типа полоски, точки и т.п. не рекомендую - довольно плохо для пользователей, шумы убираются легко.

Рекомендую использование наклонение, скручивание символов и их "слипание" друг с другом.


Не сочтите за рекламу, но данная статья довольно познавательная: http://intsystem.org/295/analiz-captcha-algorithms/

В интернете очень много статей по поводу создания своей капчи, поэтому без труда найдете в гугле яндексе, или где там еще ищете))

P.s. не забывайте сделать резервную копию старой antibot.php чтоб в случае неудачного создания своей капчи можно было вернуть прежнюю.


Брут выкладывать не буду, кто желает провести "тест" на своем СВ - можете отписать мне в пм.

[pickwick]

Видел эти брутеры, есть два варианта (платный и бесплатный),автор одного из них админ l2mad'a, который как не которые помнят недавно пытался тут срубить денег с NotSpecified'a.

По мне так лучше вообще убрать авторизацию лк с сайта и сделать нечто подобное, http://gyazo.com/8096eb7ff4c08cd25a45ff5bcffbe09b.

[Romka]

3 раза неверно ввёл акк = бан на определенное время
выставить ограничение на кол-во подключений
в конце концов ввести префиксы...

[MrFresh]

Платная и бесплатная? Не вы о другом подумали, со слов автора брута его бесплатный брут эффективней той "платной" версии о которой вы имели ввиду в 4 раза... И распространяется он под весьма высоким хайдом.

[Romka]

MrFresh, Я привёл методы защиты от брута
Лично у меня был префикс по желанию. То есть не хочешь аккаунт с префиксом, будь добр отвечай за него сам. При взломе такого аккаунта я ссылался на принятие ответственности на себя и ничего не делал.
Я не в курсе кто там и что распространяет, мне пофиг на это

[pickwick]

3 раза неверно ввёл акк = бан на определенное время
выставить ограничение на кол-во подключений
в конце концов ввести префиксы...

Всё это можно легко обойти.

1. В стрессе уже есть такая функция, меняем php session id и у нас нет бана, если ввести бан по айпи, будут использовать прокси.

2. Будет банить обычных пользователей, т.к. они любят открывать кучу страничек ну и можно будет просто уменьшить кол-во потоков, что лишь не надолго увеличит процесс брута или опять же использовать прокси.

3. Более менее нормальный вариант, но всё равно не 100% гарантия. Имеем к примеру базу на 10к. акков, при реге можно выбрать один из 10 префиксов, добавляем к каждому логину эти 10ть префиксов, в итоге время брута увеличится в 10ть раз (это где то +1,2 часа), но желанный результат получим. Можно конечно сделать что бы префикс выдавался рандомно и было 200+ вариантов, но будет куча жалоб о том "админ я забыл мой префикс".

По этому ещё раз повторяю по мне самый надёжный вариант, убрать авторизацию на сайте и сделать основные функции лк без неё -)

[Romka]

pickwick,
у меня префикс рандомно генерится. Да и не только у меня. Разве суть префикса на в его рандомности?

[pickwick]

Я видел лишь пару сайтов где при реге был префикс и у всех можно было выбирать один из вариантов. Один из минус радномного метода я уже назвал, не говоря уже о том что игроков будет напрягать вводить каждый раз префикс -)

[Romka]

pickwick, перечитай моё сообщение. У меня префикс по желанию.
Есть чекбокс "Использовать префикс ***"
Если снять галочку, то выскочит блок с таким вот информационным сообщением, где текст написан красным цветом: "Внимание! Если вы отказываетесь использовать префикс, то ваш аккаунт теряет техническую поддержку со стороны администрации. Ознакомьтесь с дополнительной информацией здесь."
И всё. Никаких проблем нет

[pickwick]

Я же написал что префикс это норм вариант но со своими минусами -)
А ты мне пытаешься что то доказать, как будто я сказал что "это га*но да и сам ты к*кашко"