Stressweb - брутят - Форум администраторов игровых серверов
Форум администраторов игровых серверов StormWall - Защита от DDos атак
Регистрация Мнения Справка Пользователи Календарь Все разделы прочитаны
Вернуться   Форум администраторов игровых серверов > MMO > Lineage II > Движки сайтов (CMS)

Движки сайтов (CMS)
Обсуждения, решения проблем веб обвязок для ява сервера.

Ответ
Опции темы
Непрочитано 02.04.2012, 22:41   #1
Аватар для MrFresh
Пользователь

Автор темы (Топик Стартер) Stressweb - брутят

Собственно добрый день, хотел бы предупредить администраторов l2 серверов о том что на данный момент существует и активно распространяется брут аккаунтов через SW любой версии.

Брут происходит автоматически, методом распознавания капчи, распознавание довольно хорошего уровня, защита типа "Click me" у капчи тоже обходится.
Брут многопотоковый, довольно быстрый 2-5 аккаунтов в секунду.


Метод защиты от брута смена стандартной капчи ( файл antibot.php ).

Самый простой вариант изменить шрифт на уникальный!(желательно анг. раскладки, чтоб не было проблемно для тех у кого нет рус. языка)

Шум типа полоски, точки и т.п. не рекомендую - довольно плохо для пользователей, шумы убираются легко.

Рекомендую использование наклонение, скручивание символов и их "слипание" друг с другом.


Не сочтите за рекламу, но данная статья довольно познавательная: http://intsystem.org/295/analiz-captcha-algorithms/

В интернете очень много статей по поводу создания своей капчи, поэтому без труда найдете в гугле яндексе, или где там еще ищете))

P.s. не забывайте сделать резервную копию старой antibot.php чтоб в случае неудачного создания своей капчи можно было вернуть прежнюю.


Брут выкладывать не буду, кто желает провести "тест" на своем СВ - можете отписать мне в пм.
__________________
MrFresh вне форума Ответить с цитированием
Непрочитано 02.04.2012, 22:57   #2
Постоялец

По умолчанию Re: Stressweb - брутят

Видел эти брутеры, есть два варианта (платный и бесплатный),автор одного из них админ l2mad'a, который как не которые помнят недавно пытался тут срубить денег с NotSpecified'a.

По мне так лучше вообще убрать авторизацию лк с сайта и сделать нечто подобное, http://gyazo.com/8096eb7ff4c08cd25a45ff5bcffbe09b.
pickwick вне форума Ответить с цитированием
Непрочитано 02.04.2012, 23:54   #3
Супергерой

По умолчанию Re: Stressweb - брутят

3 раза неверно ввёл акк = бан на определенное время
выставить ограничение на кол-во подключений
в конце концов ввести префиксы...
Romka вне форума Ответить с цитированием
Сказали спасибо:
Непрочитано 02.04.2012, 23:56   #4
Аватар для MrFresh
Пользователь

Автор темы (Топик Стартер) Re: Stressweb - брутят

Платная и бесплатная? Не вы о другом подумали, со слов автора брута его бесплатный брут эффективней той "платной" версии о которой вы имели ввиду в 4 раза... И распространяется он под весьма высоким хайдом.
__________________
MrFresh вне форума Ответить с цитированием
Непрочитано 03.04.2012, 00:01   #5
Супергерой

По умолчанию Re: Stressweb - брутят

MrFresh, Я привёл методы защиты от брута
Лично у меня был префикс по желанию. То есть не хочешь аккаунт с префиксом, будь добр отвечай за него сам. При взломе такого аккаунта я ссылался на принятие ответственности на себя и ничего не делал.
Я не в курсе кто там и что распространяет, мне пофиг на это
Romka вне форума Ответить с цитированием
Непрочитано 03.04.2012, 00:16   #6
Постоялец

По умолчанию Re: Stressweb - брутят

Цитата:
Сообщение от RomkaCW Посмотреть сообщение
3 раза неверно ввёл акк = бан на определенное время
выставить ограничение на кол-во подключений
в конце концов ввести префиксы...
Всё это можно легко обойти.

1. В стрессе уже есть такая функция, меняем php session id и у нас нет бана, если ввести бан по айпи, будут использовать прокси.

2. Будет банить обычных пользователей, т.к. они любят открывать кучу страничек ну и можно будет просто уменьшить кол-во потоков, что лишь не надолго увеличит процесс брута или опять же использовать прокси.

3. Более менее нормальный вариант, но всё равно не 100% гарантия. Имеем к примеру базу на 10к. акков, при реге можно выбрать один из 10 префиксов, добавляем к каждому логину эти 10ть префиксов, в итоге время брута увеличится в 10ть раз (это где то +1,2 часа), но желанный результат получим. Можно конечно сделать что бы префикс выдавался рандомно и было 200+ вариантов, но будет куча жалоб о том "админ я забыл мой префикс".

По этому ещё раз повторяю по мне самый надёжный вариант, убрать авторизацию на сайте и сделать основные функции лк без неё -)
pickwick вне форума Ответить с цитированием
Сказали спасибо:
Непрочитано 03.04.2012, 00:17   #7
Супергерой

По умолчанию Re: Stressweb - брутят

pickwick,
у меня префикс рандомно генерится. Да и не только у меня. Разве суть префикса на в его рандомности?
Romka вне форума Ответить с цитированием
Непрочитано 03.04.2012, 00:19   #8
Постоялец

По умолчанию Re: Stressweb - брутят

Я видел лишь пару сайтов где при реге был префикс и у всех можно было выбирать один из вариантов. Один из минус радномного метода я уже назвал, не говоря уже о том что игроков будет напрягать вводить каждый раз префикс -)
pickwick вне форума Ответить с цитированием
Непрочитано 03.04.2012, 00:22   #9
Супергерой

По умолчанию Re: Stressweb - брутят

pickwick, перечитай моё сообщение. У меня префикс по желанию.
Есть чекбокс "Использовать префикс ***"
Если снять галочку, то выскочит блок с таким вот информационным сообщением, где текст написан красным цветом: "Внимание! Если вы отказываетесь использовать префикс, то ваш аккаунт теряет техническую поддержку со стороны администрации. Ознакомьтесь с дополнительной информацией здесь."
И всё. Никаких проблем нет
Romka вне форума Ответить с цитированием
Непрочитано 03.04.2012, 00:25   #10
Постоялец

По умолчанию Re: Stressweb - брутят

Я же написал что префикс это норм вариант но со своими минусами -)
А ты мне пытаешься что то доказать, как будто я сказал что "это га*но да и сам ты к*кашко"
pickwick вне форума Ответить с цитированием
Ответ

Метки
stressweb brute, stressweb recaptcha


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
StressWeb AlleR Движки сайтов (CMS) 4 11.09.2011 23:37
Stressweb для l2Open aks19 Движки сайтов (CMS) 2 25.05.2011 00:49
Stressweb SkyAngel Lineage II 8 05.10.2010 20:44
STRESSWEB 9.0.1 bizi Движки сайтов (CMS) 1 05.04.2010 21:13


© 2007–2024 «Форум администраторов игровых серверов»
Защита сайта от DDoS атак — StormWall
Работает на Булке неизвестной версии с переводом от zCarot
Текущее время: 16:21. Часовой пояс GMT +3.

Вверх