Stressweb - брутят

MrFresh · 02.04.2012, 22:41

Собственно добрый день, хотел бы предупредить администраторов l2 серверов о том что на данный момент существует и активно распространяется брут аккаунтов через SW любой версии.

Брут происходит автоматически, методом распознавания капчи, распознавание довольно хорошего уровня, защита типа "Click me" у капчи тоже обходится.
Брут многопотоковый, довольно быстрый 2-5 аккаунтов в секунду.

Метод защиты от брута смена стандартной капчи ( файл antibot.php ).

Самый простой вариант изменить шрифт на уникальный!(желательно анг. раскладки, чтоб не было проблемно для тех у кого нет рус. языка)

Шум типа полоски, точки и т.п. не рекомендую - довольно плохо для пользователей, шумы убираются легко.

Рекомендую использование наклонение, скручивание символов и их "слипание" друг с другом.

Не сочтите за рекламу, но данная статья довольно познавательная: http://intsystem.org/295/analiz-captcha-algorithms/

В интернете очень много статей по поводу создания своей капчи, поэтому без труда найдете в гугле яндексе, или где там еще ищете))

P.s. не забывайте сделать резервную копию старой antibot.php чтоб в случае неудачного создания своей капчи можно было вернуть прежнюю.

Брут выкладывать не буду, кто желает провести "тест" на своем СВ - можете отписать мне в пм.

pickwick · 02.04.2012, 22:57

Видел эти брутеры, есть два варианта (платный и бесплатный),автор одного из них админ l2mad'a, который как не которые помнят недавно пытался тут срубить денег с NotSpecified'a.

По мне так лучше вообще убрать авторизацию лк с сайта и сделать нечто подобное, http://gyazo.com/8096eb7ff4c08cd25a45ff5bcffbe09b.

***Romka*** · 02.04.2012, 23:54

3 раза неверно ввёл акк = бан на определенное время
выставить ограничение на кол-во подключений
в конце концов ввести префиксы...

MrFresh · 02.04.2012, 23:56

Платная и бесплатная? Не вы о другом подумали, со слов автора брута его бесплатный брут эффективней той "платной" версии о которой вы имели ввиду в 4 раза... И распространяется он под весьма высоким хайдом.

***Romka*** · 03.04.2012, 00:01

MrFresh, Я привёл методы защиты от брута

Лично у меня был префикс по желанию. То есть не хочешь аккаунт с префиксом, будь добр отвечай за него сам. При взломе такого аккаунта я ссылался на принятие ответственности на себя и ничего не делал.
Я не в курсе кто там и что распространяет, мне пофиг на это

pickwick · 03.04.2012, 00:16

Цитата:

Сообщение от RomkaCW

3 раза неверно ввёл акк = бан на определенное время
выставить ограничение на кол-во подключений
в конце концов ввести префиксы...

Всё это можно легко обойти.

1. В стрессе уже есть такая функция, меняем php session id и у нас нет бана, если ввести бан по айпи, будут использовать прокси.

2. Будет банить обычных пользователей, т.к. они любят открывать кучу страничек ну и можно будет просто уменьшить кол-во потоков, что лишь не надолго увеличит процесс брута или опять же использовать прокси.

3. Более менее нормальный вариант, но всё равно не 100% гарантия. Имеем к примеру базу на 10к. акков, при реге можно выбрать один из 10 префиксов, добавляем к каждому логину эти 10ть префиксов, в итоге время брута увеличится в 10ть раз (это где то +1,2 часа), но желанный результат получим. Можно конечно сделать что бы префикс выдавался рандомно и было 200+ вариантов, но будет куча жалоб о том "админ я забыл мой префикс".

По этому ещё раз повторяю по мне самый надёжный вариант, убрать авторизацию на сайте и сделать основные функции лк без неё -)

***Romka*** · 03.04.2012, 00:17

pickwick,
у меня префикс рандомно генерится. Да и не только у меня. Разве суть префикса на в его рандомности?

pickwick · 03.04.2012, 00:19

Я видел лишь пару сайтов где при реге был префикс и у всех можно было выбирать один из вариантов. Один из минус радномного метода я уже назвал, не говоря уже о том что игроков будет напрягать вводить каждый раз префикс -)

***Romka*** · 03.04.2012, 00:22

pickwick, перечитай моё сообщение. У меня префикс по желанию.
Есть чекбокс "Использовать префикс ***"
Если снять галочку, то выскочит блок с таким вот информационным сообщением, где текст написан красным цветом: "Внимание! Если вы отказываетесь использовать префикс, то ваш аккаунт теряет техническую поддержку со стороны администрации. Ознакомьтесь с дополнительной информацией здесь."
И всё. Никаких проблем нет

pickwick · 03.04.2012, 00:25

Я же написал что префикс это норм вариант но со своими минусами -)
А ты мне пытаешься что то доказать, как будто я сказал что "это га*но да и сам ты к*кашко"

02.04.2012, 22:41	#1
MrFresh Пользователь Регистрация: 10.01.2012 Сообщений: 38 Отблагодарили 15 раз(а) Рейтинг мнений:	Stressweb - брутят Собственно добрый день, хотел бы предупредить администраторов l2 серверов о том что на данный момент существует и активно распространяется брут аккаунтов через SW любой версии. Брут происходит автоматически, методом распознавания капчи, распознавание довольно хорошего уровня, защита типа "Click me" у капчи тоже обходится. Брут многопотоковый, довольно быстрый 2-5 аккаунтов в секунду. Метод защиты от брута смена стандартной капчи ( файл antibot.php ). Самый простой вариант изменить шрифт на уникальный!(желательно анг. раскладки, чтоб не было проблемно для тех у кого нет рус. языка) Шум типа полоски, точки и т.п. не рекомендую - довольно плохо для пользователей, шумы убираются легко. Рекомендую использование наклонение, скручивание символов и их "слипание" друг с другом. Не сочтите за рекламу, но данная статья довольно познавательная: http://intsystem.org/295/analiz-captcha-algorithms/ В интернете очень много статей по поводу создания своей капчи, поэтому без труда найдете в гугле яндексе, или где там еще ищете)) P.s. не забывайте сделать резервную копию старой antibot.php чтоб в случае неудачного создания своей капчи можно было вернуть прежнюю. Брут выкладывать не буду, кто желает провести "тест" на своем СВ - можете отписать мне в пм. __________________

02.04.2012, 22:57	#2
pickwick Постоялец Регистрация: 12.07.2011 Сообщений: 208 Отблагодарили 38 раз(а) Рейтинг мнений: 69	Re: Stressweb - брутят Видел эти брутеры, есть два варианта (платный и бесплатный),автор одного из них админ l2mad'a, который как не которые помнят недавно пытался тут срубить денег с NotSpecified'a. По мне так лучше вообще убрать авторизацию лк с сайта и сделать нечто подобное, http://gyazo.com/8096eb7ff4c08cd25a45ff5bcffbe09b.

02.04.2012, 23:54	#3
*Romka* Супергерой Регистрация: 04.01.2012 Сообщений: 3,399 Отблагодарили 2,443 раз(а) Рейтинг мнений: 14	Re: Stressweb - брутят 3 раза неверно ввёл акк = бан на определенное время выставить ограничение на кол-во подключений в конце концов ввести префиксы...

02.04.2012, 23:56	#4
MrFresh Пользователь Регистрация: 10.01.2012 Сообщений: 38 Отблагодарили 15 раз(а) Рейтинг мнений:	Re: Stressweb - брутят Платная и бесплатная? Не вы о другом подумали, со слов автора брута его бесплатный брут эффективней той "платной" версии о которой вы имели ввиду в 4 раза... И распространяется он под весьма высоким хайдом. __________________

03.04.2012, 00:01	#5
*Romka* Супергерой Регистрация: 04.01.2012 Сообщений: 3,399 Отблагодарили 2,443 раз(а) Рейтинг мнений: 14	Re: Stressweb - брутят MrFresh, Я привёл методы защиты от брута Лично у меня был префикс по желанию. То есть не хочешь аккаунт с префиксом, будь добр отвечай за него сам. При взломе такого аккаунта я ссылался на принятие ответственности на себя и ничего не делал. Я не в курсе кто там и что распространяет, мне пофиг на это

03.04.2012, 00:17	#7
*Romka* Супергерой Регистрация: 04.01.2012 Сообщений: 3,399 Отблагодарили 2,443 раз(а) Рейтинг мнений: 14	Re: Stressweb - брутят pickwick, у меня префикс рандомно генерится. Да и не только у меня. Разве суть префикса на в его рандомности?

03.04.2012, 00:19	#8
pickwick Постоялец Регистрация: 12.07.2011 Сообщений: 208 Отблагодарили 38 раз(а) Рейтинг мнений: 69	Re: Stressweb - брутят Я видел лишь пару сайтов где при реге был префикс и у всех можно было выбирать один из вариантов. Один из минус радномного метода я уже назвал, не говоря уже о том что игроков будет напрягать вводить каждый раз префикс -)

03.04.2012, 00:22	#9
*Romka* Супергерой Регистрация: 04.01.2012 Сообщений: 3,399 Отблагодарили 2,443 раз(а) Рейтинг мнений: 14	Re: Stressweb - брутят pickwick, перечитай моё сообщение. У меня префикс по желанию. Есть чекбокс "Использовать префикс ***" Если снять галочку, то выскочит блок с таким вот информационным сообщением, где текст написан красным цветом: "Внимание! Если вы отказываетесь использовать префикс, то ваш аккаунт теряет техническую поддержку со стороны администрации. Ознакомьтесь с дополнительной информацией здесь." И всё. Никаких проблем нет

03.04.2012, 00:25	#10
pickwick Постоялец Регистрация: 12.07.2011 Сообщений: 208 Отблагодарили 38 раз(а) Рейтинг мнений: 69	Re: Stressweb - брутят Я же написал что префикс это норм вариант но со своими минусами -) А ты мне пытаешься что то доказать, как будто я сказал что "это гано да и сам ты ккашко"

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
StressWeb	AlleR	Движки сайтов (CMS)	4	11.09.2011 23:37
Stressweb для l2Open	aks19	Движки сайтов (CMS)	2	25.05.2011 00:49
Stressweb	SkyAngel	Lineage II	8	05.10.2010 20:44
STRESSWEB 9.0.1	bizi	Движки сайтов (CMS)	1	05.04.2010 21:13