Пока мир следит за геополитическими разборками, тут более горячая тему — как RDP палит бот-фермы.
Я, Григорий Мельников, создатель антибот сервиса KillBot, рассказываю, как Windows сервер с РДП палит твоих ПФ-ботов (на BAS, Zenoposter и любом другом софте под Win). Ниже инструкция как от таких визитов избавится и сохранять бюджет в Директе.
Ботам специально «нагуливают» историю посещений, имитируя поведение реальных пользователей — боты заходят через поиск, просматривают страницы и возвращаются через время, чтобы создать видимость органического трафика с целью обмануть антифрод‑системы. Когда же боты набирают достаточно «чистых» визитов, их начинают использовать для накрутки, мошенничества или спама. Таких ботов, которые нагуливают историю, называют «ПФ‑боты» — т. е. боты, которые имитируют поведенческие факторы реальных людей.
Все ПФ-боты на BAS крутятся на выделенных серверах. (Кто пишет ботов и с использованием какого софта читайте тут). Сервер администрируют прямо там же — и делают это, конечно, через RDP (удалённый рабочий стол).
А теперь прикол: удалённый рабочий стол Windows RDP открывает порты 47001 и 5985 на localhost. Браузером можно проверить, открыты они или нет — и всё, ботики спалились.
Если у меня 100 кликов, и у 90 открыт порт 47001 — всё, их можно смело отправлять под фильтр. Реальное использование RDP у домашних ПК — меньше 3%, а для мобильных устройств это просто невозможно. В чистом трафике эти порты почти не встречаются.
Внимание! 47001 — это порт на LOCALHOST — не путайте с внешним RDP портом 3389.
Из минусов подхода — если порт 47001 не на прослушке (для доминирующего большинства реального трафика), то в консоли браузера появится ошибка как на скрине:
Т.е. такой чекер можно включать если не обращать внимание на, то что эта ошибка будет в консоли браузера или если нет альтернативных методов фильтрации ботов данного типа.
Вывод для крутильщиков: RDP — палево.
Как посмотреть на ботовском сервере что локальный порт открыт?
В моей прошлой статье, я уже давал ссылку на тулзу проверки своих браузерных данных (UserID и др.). Вот эта ссылка — в ней же можно посмотреть есть открытый порт в списке или нет:
С локального компьютера — порт 47 001 не прослушивается, а если открыть ссылку на удаленном сервере через РДП — то — да, это красный флаг по которому можно фильтровать.
Что делать если ты крутишь ПФ?
Сменить порт: НЕ вариант, 47001 — это порт локального WinRM листенера. Его назначение жёстко прописано в службе WinRM для локального доступа. Изменить его штатными средствами Windows нельзя — параметра в реестре и конфиге нет.
Использовать другой клиент рабочего стола — это хороший вариант.
Запретить ботоферме пинговать локальные порты — тоже вариант, но нужно подключение разработчиков.
Забить, всеравно порты не палят — хороший вариант, но войны так и поигрывают.
Как фильтровать такие визиты на стороне сайта?
Я опубликовал такой пост ранее (10 августа) в своем телеграм канале: ссылка (это вторая часть поста). А в одном из следующих постов я расскажу о дырах в фреймворках типа BAS и то, как палить антидетект, поэтому подписывайтесь на мой телеграм канал: ссылка, чтобы не пропустить этот интересный материал.
