Napadení registračníma robotama

27. 11. 2013 18:00:56

Zdravím,

na web dejhru.cz se neustále registrují roboti a to i přes captcha. Nevíte jak je to možné, nebo už snad roboti dokážou captcha projít?

Zde se registruje, ale aktuálně se nezaregistrujete, protože to nepošle konfigurační email.

http://dejhru.cz/user/register

Aktuálně se zaregistruje cca 5 robotů za minutu.

Web jsem už aktualizoval

27. 11. 2013 18:00:56

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970573

Roman

(15 hodnocení)

27. 11. 2013 18:11:25

neřekl bych, že prolomili captcha, ale spíš tvůj registrační formulář/skript. Nejspíš ho nějakým exploitem umí obejít. Pakliže tedy captcha skutečně funguje.

Teoreticky ti taky mohou zapisovat přímo do databáze.

27. 11. 2013 18:11:25

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970572

Roman Ernst

(26 hodnocení)

27. 11. 2013 18:15:33

Řekl bych že prolomili captcha, zde je jedna z chyb v logu:

user_register post blocked by CAPTCHA module: challenge "Image" (by module "image_captcha"), user answered "Bjb9F", but the solution was "BjB9F".

Tady se netrefil "pouze" o velikost jednoho písmena..

27. 11. 2013 18:15:33

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970571

Petr Parimucha

(16 hodnocení)

27. 11. 2013 18:25:30

Ano tyto primitivní obrázky nečiní robotům žádný problém a úspěšnost prolomení je hodně vysoká. Pomoci by mohlo, kdyby se v CAPTCHA objevovali i české znaky, avšak záleží na cílové skupině a zda to modul umožňuje. Drupal nabízí celou řadu jednoduchých řešení, jak to omezit, stačí najít modul, co ti bude fungovat nejlépe.

Jinak základní Drupal pravděpodobně aktualizovaný máš, ale jednotlivé moduly by chtělo také aktualizovat :-)

27. 11. 2013 18:25:30

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970570

Roman

(15 hodnocení)

27. 11. 2013 18:28:15

tak zaveď recaptcha

27. 11. 2013 18:28:15

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970569

Roman Ernst

(26 hodnocení)

27. 11. 2013 18:53:54

Napsal Caesar;1026749
tak zaveď recaptcha

Tak jsem to nasadil, tak uvidíme :)

---------- Příspěvek doplněn 27.11.2013 v 18:58 ----------

Tak reCaptcha prolomí tak na 4tý pokus...

27. 11. 2013 18:53:54

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970568

(22 hodnocení)

27. 11. 2013 19:01:12

docela dobře funguje, když dáš do formuláře třeba:

a v css .inputt { display:none; }

a budeš kontrolovat jestli je email prázdná.. a takhle si tam obdobnejch políček naházíš ještě 2, zkombinuješ případně s javascriptovým doplnováním aktuálního dne do skrytýho inputu.. a zatim jsem recaptchu apod. nemusel nikde řešit.. :)

27. 11. 2013 19:01:12

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970567

Roman Ernst

(26 hodnocení)

27. 11. 2013 19:13:14

Tak snad vyřešeno, v reCaptcha jsem zaškrtl Secure Connection (Connect to the reCAPTCHA server using a secure connection.) a už je to nepustí, teda aspoň zatim žádný neprošel :)

---------- Příspěvek doplněn 27.11.2013 v 19:22 ----------

Stalo se už někomu něco podobného? Přestanou tyto roboti po několika neúspěších nakonec napokoji, nebo ho budou neustále zatěžovat?

27. 11. 2013 19:13:14

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970566

drago

(73 hodnocení)

28. 11. 2013 13:25:00

Ona je jen otázka času, kdy roboti budou umět captcha kódy luštit lépe než lidé. Existuje třeba software co vyluští 90% všech captcha kódů včetně nejpoužívanějšího reCaptcha.

Chyba často není v samotném kódu. Problémem jsou online služby na řešení captcha. Za pár drobných ti to prolamují lidé, kteří jsou za to placeni (platy jsou prý 50 USD za měsíc práce). Nejznámější DeathByCaptcha má momentálně nabídku 1,39 USD za 1000 vyluštěných kódů s 90% úspěšností.

Pokud tedy máš české stránky tak se neboj nasadit jednoduché otázky. Dávej si ale pozor ať se nedají dohledat odpovědi přes Google, tohle už také roboti umí. Takže otázka v obrázku, anebo napsaná formou, kterou vyhledávač nepochopí.

Na to přetěžování jedině použít nějaký fail2ban anebo DoS odolný hosting. Mě takhle vyřídil robot slabší VMSko.

28. 11. 2013 13:25:00

https://webtrh.cz/diskuse/napadeni-registracnima-robotama#reply970565

Pro odpověď se přihlašte.

Přihlásit