Сегодня утром я открыл почтовый ящик и обнаружил около 150 предупреждений из программы мониторинга лога. Я подумал, что случайно запушил какой-то баг в продакшн — и быстро начал расследование. Но вскоре стало понятно, что некий парень очень быстро создаёт новые учетные записи на нашем сервисе API скриншотов ApiLeap и быстро расходует весь кредит бесплатного плана на каждом аккаунте.
Он делал скриншоты этой страницы и майнил криптовалюту на машинах, где работают инстансы Chrome, которые мы используем для скриншотов.
Я выяснил, что он зависает на главной странице нашего сайта, так что можно поговорить с ним через онлайновый чат Crisp — инструмент, который мы используем для общения с потенциальными клиентами на сайте. Вот это разговор:
Я: Здравствуйте. Пожалуйста, прекратите создавать несколько учётных записей на ApiLeap, вы нарушаете условия предоставления услуг.Думаю, это один из самых мирных способов, каким я устранил атаку — и хакер оказался не таким уж плохим парнем, в конце концов.
Он: Откуда ты знаешь?
Я: Из нашего интерфейса администратора, у нас есть метрики для мониторинга использования.
Он: Значит вы отследили мой IP? Вау!!!
Я: У нас есть юридические обязательства по сбору данных от наших клиентов.
Он: О, простите. Я использовал ваш сервер для майнинга криптовалют. Извините, я остановлю его.
Я: Спасибо.
Он: Будут какие-то судебные разбирательства? :D
Я: Если остановитесь сейчас, нет. Если продолжите, то да.
Он: Но вы сами виноваты. Вы не внедрили никаких механизмов для предотвращения ботов или автоматического доступа.
Я: Мы позволяем пользователям свободно создавать учётные записи, но у нас есть различные инструменты для бана. У нас также есть подрядчик, который может подготовить судебный иск, если понадобится.
Он: Ладно, я понимаю. Но это ваша обязанность — убедиться, что автоматизированный софт не может создать аккаунт на вашем сайте.
Я: Мы можем добавить меры безопасности, если нужно.
Он: Я тоже веб-разработчик, могу помочь. Я ведь только что создал инструмент на php для автоматического создания аккаунтов на вашем сайте.
Я: Мы это поняли. Selenium?
Он: Неа, PHP curl. Могу помочь вам, если хотите. Так что, вы вообще не разбираетесь в веб-безопасности или просто лень её реализовывать? Поставьте хоть капчу, она защитит он таких ботов.
Я: Спасибо за совет. Наш сайт первый, на который вы напали?
Он: Нет… :D
Это мое хобби. Ради удовольствия и прибыли.
Я: Вы зарабатываете приличные деньги на Coinhive?
Он: Нет. Я ещё ничего не сделал. Поэтому подумал об использовании таких сайтов для майнинга. Сожалею, если нанёс вам какой-то убыток.
Я: Всё в порядке, мы ничего не потеряли. Есть куча других сервисов для скриншотов, которые вы можете попробовать.
Он: :D
Это использует их вычислительные ресурсы, ты же понимаешь.
Я: Да, это майнинг Monero в браузере.
Он: Кстати, а почему ты хочешь, чтобы я попробовал другие веб-сайты? Просто чтобы нанести им какой-то ущерб? :D
Я: Нет, не надо. Я просто пошутил. :)
Он: Ладно. Возьмёте меня на работу?
Я: Извините, у нас уже есть штатный разработчик.
Он: ;)
В любом случае, было приятно познакомиться.
Я: Уверен, ты отличный парень глубоко внутри. Существует куча лучших способов заработать деньги в качестве разработчика. Приятно было познакомиться. Удачи! Надеюсь, у тебя будет всё замечательно! :)
Он: Спасибо. Пока :)
Комментарии (91)
saw_tooth
03.05.2018 18:43-1Поставьте хоть капчу, она защитит он таких ботов.
Неужто бизнес настолько подгонял что не было времени вставить reCAPTCHA?libpony
03.05.2018 18:57+9Ставить reCAPTCHA — не уважать своих пользователей.
Если вас никогда не просили найти несколько раз подряд автомобильные дорожные знаки на 9 фотографиях где нет ни одного дорожного знака(но по мнение рекапчи он есть), то вы вряд ли поймёте что с этим сервисом не так.MikFoxi
03.05.2018 19:20-1Пользователям пора смириться с рекапчей. Она должна быть везде, где надо остановить или замедлить автоматические действия.
Yardanico
03.05.2018 19:49Вы же знаете, что уже существуют программы для автоматического решения рекапчи? Не считая многих сервисов для решения капч с помощью других людей.
MikFoxi
03.05.2018 19:56Программы таких 2 — xevil и капмонстр. реальный пробив там процентов 20 в лучшем случае, при немалых затратах на ip под прокси. А сервисы — от 150 руб за 1к разгадываний, что опять же с учетом доп ip все удорожают. В итоге смысл все это делать есть только у сильно полезных сервисов, которые эти затраты смогут окупить. но которые кроме рекапчи быстро введут доп защиты, типа подтверждений телефонов или ввода кредитки.
sumanai
03.05.2018 19:54+1Вы хотели сказать, везде, где не нужны пользователи? Я всё чаще забиваю на сайты, где стоит рекапча.
MikFoxi
03.05.2018 19:57Вы уже отказались от использования сервисов гугла?
sumanai
03.05.2018 20:03-2Я и не начинал.
sumanai
04.05.2018 12:06Занятный рейтинг у сообщения вышел. Не вижу логики ни у минусующих, ни у плюсующих. Поясните пожалуйста.
urvalla
04.05.2018 17:40Google-users vs Google-haters. Одни видят в сообщении вброс, другие поддерживают. Это как сине-черное/бело-бежевое платье — можно по-разному увидеть.
lostpassword
04.05.2018 22:59+2Я не голосовал, но не представляю, как разработчик может не пользоваться гуглом вообще.
Извините, но я в это не верю ?\_(?)_/?Areso
05.05.2018 11:25Из принципа. И пользоваться duckduckgo, к примеру.
Когда-то я сидел в links и там тоже вылезала капча на запросах, при том что у меня был отдельный выделенный статический айпи адрес. Ну короче я плюнул и пересел на альтернативный поисковый движок (благо они еще существуют).
sumanai
05.05.2018 11:47+1Не пользоваться гуглом и не иметь там аккаунт это разные вещи. Если вы про вебмастер, то я прошу клиентов самим там регистрироваться.
Наверное я не так выразился, или не так сходу понял. Гуглить то я гуглю, но даже телефон на андроиде у меня без аккаунта.lostpassword
05.05.2018 19:30Понятно. Да, тут разница в понимании получилась: для меня вопрос «Вы уже отказались от использования сервисов гугла?» означает именно отказ от всего, даже поиска. Я бы не смог)
Goodkat
03.05.2018 21:18Достаточно однажды залогиниться на любом из сервисов Гугла, чтобы не видеть его капчу. На сторонних сайтах при этом достаточно поставить галку без угадывания, где здесь магазин, а где — автомобиль.
Germanets
04.05.2018 01:05Увы, это работает этак для 95%, но периодически, на какие-то нестандартные запросы в поиске или несколько действий подряд даже у залогиненного пользователя с достаточно большой историей вылазит угадайка со значками…
altrus
04.05.2018 05:21Неправда. Я постоянно залогинен и всё равно при отправке комментов на своем же сайте с моей рекапчей нужно ее всегда гадать.
Goodkat
04.05.2018 07:41Видимо, это от сайта зависит. Просто не ходите на сайты, которые даже для залогиненых пользователей требуют разгадывать капчу.
altrus
04.05.2018 07:47))))))
Это мой сайт, я капчу сам ставил для JComments
И вообще, в первый раз слышу, что залогиненные гугловцы в общем случае освобождаются от всех рекапчGoodkat
04.05.2018 08:12-1Я вижу рекапчу только в порнорежиме.
altrus
04.05.2018 08:19А чо за браузер с порнорежимом? Я тоже хочу.
Goodkat
04.05.2018 08:31Любой современный: https://www.zdnet.com/article/how-do-you-use-your-browsers-porn-mode/
Frankenstine
04.05.2018 14:23Подозреваю, вы выходите в интернет через провайдера, предоставляющего вам доступ через NAT с одним белым айпи, вместе с тысячами других таких же пользователей. Запросы одного из них, заражённого ботнетом, приводят к необходимости прохождения капчи всеми, кто разделяет тот же внешний айпи.
Areso
04.05.2018 09:41А если я не хочу постоянно быть залогиненным в сервисах Гугла? Он и без того знает обо слишком много, я не хочу, чтобы он знал обо мне все.
OUGHT
04.05.2018 09:43Интересно. В последнее время сижу в интернете через один и тот же ВПН (привет Роскомнадзору), и поэтому капчи прут изо всех щелей. При этом логин в Гугле у меня не сбрасывается, но капчам, похоже, на это плевать. =-)
aaalllsss
04.05.2018 11:51если вы часто попадаете на одну и ту же страницу с капчей, то у вас вместо галочки начинают появляться автомобили и столбы
Goodkat
04.05.2018 11:55Да, я знаю. Но, как уже писал выше, у меня это происходит только в порнорежиме браузера — там я не залогинен в Гугле. Тогда капча начинает появляться даже там, где я думал, её совсем не бывает.
Lord_Ahriman
04.05.2018 12:36Увы, я ниже свой кейс описал, у меня рекапча лезет даже в поиске гугла при совершенном с двухфакторкой входе в аккаунт.
Daar
05.05.2018 10:40Согласен, уже не помню даже когда видел капчу на Гугле, только на сторонних сервисах, и то обычно когда пароль пару раз неправильно введешь то появляется капча.
Goodkat
05.05.2018 11:47Как мне уже несколько раз указали в комментариях, у многих это не так.
Видимо, это связано как с самими сторонними сервисами — владелец может выбрать настройки пароноидальности рекапчи, так и с повальным использованием прокси/впн — Гугл подозревает бота в каждом пользователе, если они толпой используют один айпи.
MechanicZelenyy
04.05.2018 11:51По крайней мере сделал первый шаг, поисковики по-умолчанию теперь yandex и duckduckgo.
MikFoxi
04.05.2018 12:12Вам яндекс капча, которая в 60% вообще не читаема и не разгадываема и постоянно вылазящая везде в яндекс сервисах больше нравится? Я не мазахист-патриот.
MechanicZelenyy
04.05.2018 12:49Не могу составить он ней мнение, поскольку в отличии от гугловской капчи, её пока не видел. Будет доставать — перестану и яндексом пользоваться, благо поисковиков достаточно нынче.
altrus
04.05.2018 13:16Даже Гугл и Яндекс при локальных поисках (региональных, имена-фамилии и т.п.) отличаются как небо и земля, не в пользу гугла. А все остальные вообще курят в сторонке.
Если вам, конечно, нужен хороший поиск, а не страницу в википедии или функцию phpMechanicZelenyy
04.05.2018 14:00Да Гугл и Яндекс удобнее чем остальные поисковики, но по вопросу о том делает ли это их лучше на хабре (или на гиктаймсе) уже была дискуссия.
Хороший поиск этот тот который дает результаты, а не тот который требует сложного отбора — это скорее нужно для анализа вполне конкретного источника, который ищется не поисковиком.
Lord_Ahriman
04.05.2018 12:35Ну вот, кстати, в последнее время все чаще ищу через Яндекс. Не хочется. но приходится. Вот надо мне что-то быстро погуглить, а он мне нннна рекапчу, да еще и не с первого раза которая проходится — ну не вижу я там знаков, автобусов и прочего, а ИИ их считает, что видит, и так по 3-5 кругов. И это при том, что я залогинен в аккаунт Гугловский с 2ФА, так что, по уму, он мне вообще рекапчу не должен совать, пусть даже у меня серый IP, как на смарте, так и на домашнем подключении.
asmrnv777
04.05.2018 17:10+2Мне на телефоне в последнее время регулярно показывает эту долбаную рекапчу из 10 шагов, когда надо что-то быстро загуглить (при том, что я авторизован в гуглоакке). Просто переключаюсь на яндекс в такой момент и всё, пусть сами свои капчи разгадывают.
khanid
03.05.2018 23:38У меня от рекаптчи истерика случается каждый раз, когда на каждый новый запрос в гугле приходится её разгадывать от 1 до 3 раз, причём вариант со сменой изображений самый отвратительный. Изображения угасают и появляются очень долго.
Goodkat
04.05.2018 07:43Что ж вы такое ищете, что капчу разгадывать приходится?
Не связано ли это с использованием прокси?Fen1kz
04.05.2018 15:10У меня например коммуналка на одном IP + я часто гуглю интересную инфу вперемешку с программированием, типа «что-то об комп. игрушке» + «особенности внешней политики бразилии в 18 веке» + «react fiber». Пару раз доходило до того что гугл прямо таки банил, лечилось переменой IP (рестартом роутера)
И да, капча в таких случаях бесит, особенно когда корректируешь запрос в риалтайме и снова сидишь, выполняешь распознаваниеGoodkat
04.05.2018 15:35+1На работе я из гугла бывает не вылажу, при этом наружу смотрит один айпишник на несколько тысяч сотрудников — капчу вижу только в порнорежиме на некоторых сайтах, у самого гугла только если опять же в порнорежиме пароль к аккаунту раза четыре неправильно наберёшь, в поиске пока не видел ни разу, узнал о капче в поиске только из комментариев тут :)
apiksDen
04.05.2018 11:15Что за бред. Боты это проблема сайта, а не пользователей, рекапчи быть должно как можно меньше
altrus
04.05.2018 11:31Правда? А какие антиботовские решения вы знаете, кроме капчи?
От спама в комментах, например. (Регистрация не в счет. так как без капчи тоже обходится ботами)sumanai
04.05.2018 12:07А какие антиботовские решения вы знаете, кроме капчи?
Любые уникальные. Ах да, капча нормальное решение, проходится на порядок быстрее репапчи, кроме самых маразматичных вариантов.
MikFoxi
04.05.2018 12:16Я некоторые время для антиспама на своем сайте wmsn.biz использовал платную регистрацию, просто купить код активации аккаунта на plati.ru за 1 $ ))) Вполне норм работало как антиспам. Сейчас правда поставил рекапчу, зато бесплатно.
Firz
03.05.2018 20:08Мне всегда казалось что за отдельную плату владелец ресурса может включить отдельный скрытый режим «изнасилуй пользователя морально», когда тебе вылазит бесконечное количество повторений(лично дважды разгадывал по 20-25 рекапч, первый раз было интересно что за глюк, а второй раз(так же случайно случившийся) вживую показывал знакомому). При этом с этого же IP, в этом же браузере, в этот же день на других ресурсах до и после этих случаев просто ставил галочку.
sumanai
03.05.2018 20:13Зачем плату? Гуглу выгодно, когда ему решают 100500 картинок. Поэтому ползунок параноидальности в настройках совершенно бесплатный.
saboteur_kiev
04.05.2018 12:10-1Да ладно, один раз рекапчу при РЕГИСТРАЦИИ нового пользователя?
libpony
04.05.2018 12:16А сколько таких сайтов? Да полно. Где-то комментарий анонимусом оставить, пасту или картинку залить — уже надо вводить капчу. Я не хочу их разгадывать постоянно. Притом сайту лучше не становится.
vaslobas
03.05.2018 19:53+1Только вот 1к рекапч разгадывают за 2 бакса, а для пользователя рекапча выглядит вот так
i.imgur.com/AFFcdpR.jpg
hunterlan
03.05.2018 18:45-3Считаю, что автору оригинала все таки стоило взять парнишку на работу. Как ни крути, а в новых проектах(а я уверен, такие еще будут) безопасность уже будет важнее, а он бы мог быть как раз нужен… Ну или в конце концов взять контактную информацию, на всякий случай :)
kikey
03.05.2018 19:20+1Интересно, а кому на кого бы они иск подали? На айпи адрес? Сперва скорее всего пришлось бы его поймать за руку, а если через прокси или цепочку прокси сидит. Такие люди обычно зная, что делают что-то плохое, стараются себя обезопасить
BigFlask
04.05.2018 00:59Да ладно. Предлагаешь ему работу, под видом интервью заставляешь во всем сознаться, подаешь иск. Ничего сложного.
Vaitek
03.05.2018 19:20возможно, он тоже читает хабр) еще не все потеряно.
alphamercer
03.05.2018 19:44Это перевод, поэтому маловероятно.
KoToSveen
04.05.2018 03:32Такие люди обычно зная, что делают что-то плохое, стараются себя обезопасить
w0den
04.05.2018 03:43Ещё в декабре написал об этой проблеме в поддержку Pingdom. Сказали, «спасибо, посмотрим», но кажется, они не видят ничего плохого в этом, поскольку в данный момент всё ещё можно майнить у них со скоростью ~30H/s. Помню, тогда я проверил и другие сервисы, но только Google предусмотрел защиту от майнинга.
altrus
04.05.2018 05:49Многие малосодержательные информационные сообщения походят часто просто на косвенную массовую рекламу криптовалют и майнинга
sasha1024
04.05.2018 09:21В оригинале стилистика сообщений «я» и «он» немного отличались. В частности, «он» не использовал больших букв. По-моему, от приведения их к одному стилю в переводе оно немного потеря?ло.
impwx
04.05.2018 10:13+1Но вы сами виноваты
Все, что нужно знать про менталитет скрипткидди-майнеров.1Tiger1
04.05.2018 13:12Ну менталитет конечто так себе, но ведь в чем то он прав. У них на сайте в бесплатном аккаунте 100 скриншотов в месяц. Чтобы устраивать такие пики нужно регистрировать по 1000-3000 аккаунтов. Банальная проверка и ограничение по IP при регистрации уже снизила бы проблему в разы, капча для бесплатного аккаунта тоже, ограничения на скрины одной и той же страницы с одного аккаунта, более гибкие механизмы по выявлению групп аккаунтов, вариантов навалом и базовые но достаточно эффективные реализуются от пары часов до пары дней.
Это в этот раз их безопасно для майнинга использвали, а так с такими возможностями могут их как этакий миниботнет использовать, для миниддоса например, 100 запросов в секунду достаточно чтобы уложить многие сайты не заморачивающиеся высокии нагрузками, и потом будут в суде защищаться что это не они.
Имхо, все же в таких системах, которые можно использовать для обращения к другим ресурсам, безопастность должна быть одной из ключевых забот.
RuLab
04.05.2018 12:15Сталкивался с подобной ситуацией. Хакер через бота регистрировал аккаунты на нашем сайте, получал за это баллы по бонусной программе и намеревался использовать их для получения внушительной скидки на покупку техники. Мы быстро нашли аномальный аккаунт, куда стекались все бонусы, но решили понаблюдать, что будет дальше т.к все заказы обрабатывались вручную. В итоге, когда заказ был совершен, хакер позвонил, чтобы обговорить условия доставки, сотрудники колл-центра перевели звонок на меня и я пояснил, что мы не можем продать ему желаемый товар с такой скидкой, но пригласил приехать к нам в офис, чтобы познакомится и получить небольшой презент за найденную уязвимость. В конечном итоге парень все таки переборол страх и приехал (хоть и взяв жену для подстраховку), ну а закончилось все знатной пьянкой с пиццей и байками за жизнь =)
lostpassword
04.05.2018 23:06А какой товар он планировал приобрести? Что пользуется популярностью у хакеров?
BingoBongo
04.05.2018 13:05ничего не утверждаю, но все это очень напоминает фейковые переписки из мессенджеров, которые так часто встречаются на развлекательных сайтах.
Revertis
Но вы ведь так и не познакомились :-/