Comments 37
Хах, не все рыцари носят плащи )
Может благодаря вашим действиям им и пришлось свернуть кампанию на этом доменчике, авось кому-то и помогли даже (а мусорные данные от настоящих им будет просто отделить, по тем же IP/User-Agent)
Еще в свое время народ баловался, выбирая на фишинговом сайте самую большую картинку, и запуская постоянное ее скачивание. Учитывая, что обычно такие сайты делали на дешевом хостинге, то они уходили в оффлайн от перерасходования лимита трафика.
диалапа на вас нету!!!
Выборка в SQL, отсекающая записи, присланные IP адресами, с которых было прислано больше одной строчки.
Благие намерения, тривиально обходятся злоумышленниками. Вы потратили больше времени, чем они, они выиграли.
Выборка в SQL, отсекающая записи, присланные IP адресами, с которых было прислано больше одной строчки.
Да, все без исключения хацкеры - дураки, не знающие об изрядных сетях за NAT.
Поэтому они сами себе всё сразу поотсекают на радость грамотным комментаторам... :)
Конечно в теории могут попастся несколько человек на NAT, но по факту можно считать что 1 айпи = 1 человек. За NAT нужно расчитывать когда вы лимиты ставите например по запросам на айпи, чтобы когда несколько человек за 1 NAT сидят не получили бан за флуд запросами. Но для фишинга такое ненадо учитывать, тк каждый человек там случаен и NAT в расчет брать ненадо.
`where count > 100` - и мы имеем разумную фильтрацию.
Если вы, глядя на табличку, можете оттуда фигню выфильтровать, то Вася, налабавший фишинговый сайт, тоже может это сделать.
Т.е. воображать себя принцем на белом коне, повергающих злодеев-идиотов вы можете, но на практике ваш конь-на-палочке серьёзных дядь не впечатлит.
Абуза хостеру тоже малоэффективна, но хотя бы сколько-то эффективна.
Я так понял сайт лёг, значит эффект таки был достигнут, или?..
Update: прочитал ваше сообщение ниже о том, что сайт мог заблочить хостер по абузу поданному парраллельно акции автора статьи. Так или иначе, прикольно, что люди пытаются. ;) Не смотря на то, что это старый вид забавы, поколения растут, пуст забавляются, а нам материал на почитать пишут. Не все же в теме и то сё:)
можно использовать прокси
А через 2 часа непрерывной работы скрипта я обнаружил, что сайт перестал работать: при попытке открыть ссылку открывалась страница хостинга доменных имен. А попытки достучаться по ip-адресу были безуспешны.
Вряд ли вы их завалили, это даже не DDOS. Скорее либо вас забанили по ip, либо хостер их заблокировал за абьюз по чьей-то жалобе.
Кавычку в поле воткнуть не пробовали?
Гораздо быстрее и надежнее связаться с хостинг провайдером и описать ситуацию. Они на фишинг очень оперативно реагируют - 20-30 минут и все заблочено.
И тем не менее, мне сложно представить скрипт, с помощью которого можно отличить случайный набор символов от чего-то похожего на пароль.
нет ничего сложного в валидации логинов паролей выполняя авторизацию скриптом
нет ничего сложного в валидации логинов паролей выполняя авторизацию скриптом
Через пару неуспешных логинов в google, например, капчу придется решать, а так ничего сложного, да.
ну речь то не про гугл а про ВК. и к тому же речь не про брут одного аккаунта а про проверку валидных и не валидных, т.е. аккаунты разные. и ни кто не запрещает использовать кучу бесплатных прокси. Хотя может я чего то не знаю про ВК, а такое вполне возможно потому что это просто помойка которую я стараюсь обходит стороной.
Интересно, что официальные власти фактически разрешают фишинг и тому подобные мошенничества- по телефону, например - преступников особо не ищут, по зомбоящику про это людей не информируют и тп.
Хотя найти и обезвредить мошенников легко, в современном мире все отслеживаеттся - звонки, письма, движение денег, и все механизмы явно есть - случай с ветераном, который сидел рядом с царем и которого обманули мошенники тому пример - нашли их моментально.
Вероятно, власть не считает мошенников серьезной угрозой - они же не ФБК...
Вы жертва пропаганды, только с другой стороны.
В каждом магазине висит памятка о телефонных мошенниках, в том числе и фишинг упоминается.
На 1 канале регулярно сообщения как защится от мошенников.
Но вам важно сказать что власти вас в чем то притесняют
Тут двоякая проблема. С одной стороны, вы правы, милиция могла бы и проявить активность. С другой стороны, если бы граждане на каждый случай мошенничества или попытки оного писали бы заявление, то органы были бы вынуждены реагировать. Но гражданам тоже лень.
Я как-то сам хотел было обратиться по такому поводу, но мне предложили распечатать электронную переписку и придти в участок, написать заявление. На этом мой энтузиазм иссяк.
Делай добро и беги
Хабр для меня всегда был местом, где собираются крутые дядьки, а публикуют статьи гуру своего дела. Не просто самоучки дилетанты, как я, а настоящие учёные, чей авторитет непоколебим, а каждым словом в посте можно зачитываться и получать тонны знаний.
Но чем дальше в лес, тем больше вот такой банальщины на подобии "как я провел выходные". Какой научный вес такой статьи? 0. Этот пост имеет право быть опубликованным на личной странице какой нибудь бабушки в одноклассниках
О, мне как-то похожее пришло, и я таким же решил заняться. Даже скрипт остался. Копия странички с восстановлением пароля от ВК, из которой скорее всего данные прямо вконтакту и пересылаются.
Там немного больше полей просили отправить, но методом научного тыка выяснилось, что, всё, кроме "ref" (было частью самой ссылки) на результат запроса "окей, всё приняли" не влияет. Скорее всего отсеяли, не зря же уникальное поле добавили, но как минимум немножко удовольствия от самого процесса я получил, да и в асинхронных запросах попробовал разобраться (критика приветствуется).
Код
import requests
import random
import aiohttp
import asyncio
captcha = 'QWERTYUIOPASDFGHJKLZXCVBNM1234567890'
count = 1
async def bullshit():
async with aiohttp.ClientSession() as session:
global count
newpass = ''.join([random.choice(captcha) for _ in range(random.randint(5, 20))])
body = {
'captcha_sid': str(random.randint(100000000000, 999999999999)),
'captcha_key': ''.join([random.choice(captcha) for _ in range(random.randint(5, 10))]),
'newpass1': newpass,
'newpass2': newpass,
'twofactor': '',
'login': '+7911' + ''.join([str(random.randint(1, 9)) for _ in range(7)]),
'oldpass': ''.join([random.choice(captcha) for _ in range(random.randint(5, 20))]),
'ref': '785878500',
'type': 'changepass'
}
async with session.post('https://vkrecovers.com/oauth2', data=body) as res:
print(count, res)
count += 1
loop = asyncio.get_event_loop()
async def tasks_gen():
while True:
yield asyncio.ensure_future(bullshit())
async def main():
async for _ in tasks_gen():
await bullshit()
loop.run_until_complete(main())
Научите меня "недоучку" также... :)
Напрашивается создание Цифрового Ордена Белых Плащей для организованного вывода из строя вредоносных сайтов )
Ставим палки в колеса злоумышленникам