Simplamarket Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 Ну что у ваших клиентов! атака продолжается?Пока продолжается, сейчас будем пробовать такие меры: 1. Изменить name="name" на что-то другое. Например name="imja"2. Создать скрытое поле name="name", написать в него что-то, например "1", и если в это поле что-то дописывают то отмечать как-то этот заказ.3. Установить reCaptcha от Гугла. https://www.google.com/recaptcha Цитата Ссылка на сообщение Поделиться на другие сайты
Kors Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) В подобной ситуации пробовал п.1, 2 - безрезультатно...п.3 - тяжелый метод... Изменено 27 августа, 2015 пользователем Kors Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) многие клиенты столкнулись с этой бедой, проблема глобальная не только с симплой. атакуют разные цмс http://www.cmsmagazine.ru/library/items/ecommerce/a-new-kind-of-dos-attacks-on-online-shopping/ Изменено 27 августа, 2015 пользователем DaVinci Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 многие клиенты столкнулись с этой бедой, проблема глобальная не только с симплой. атакуют разные цмс http://www.cmsmagazine.ru/library/items/ecommerce/a-new-kind-of-dos-attacks-on-online-shopping/ AJAX может чем-нибудь помочь? Цитата Ссылка на сообщение Поделиться на другие сайты
mishanya Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 AJAX может чем-нибудь помочь? не думаю, это поможет от ботов, которые не умеют выполнять js, в остальном это все та же отправка формы заказа. Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) не думаю, это поможет от ботов, которые не умеют выполнять js, в остальном это все та же отправка формы заказа. я имел в виду форму вызывать по AJAX, допустим после клика по способу доставки.... или как-то так Изменено 27 августа, 2015 пользователем Maksclub Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) запустил на проверку метод с использование java, жду результатов Изменено 27 августа, 2015 пользователем DaVinci Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) Атака на бизнес-процессы .... интересно конечно ВСЕМ как идея! Расположить на странице магазина в виде изображения инструкцию и предупреждение!JS подменять местами заголовки инпутов имя и телефон... в админке поменять эти подписи... если видите нестыковки, то бот! Изменено 27 августа, 2015 пользователем Maksclub Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) Атака на бизнес-процессы .... интересно конечно ВСЕМ как идея! Расположить на странице магазина в виде изображения инструкцию и предупреждение!JS подменять местами заголовки инпутов имя и телефон... в админке поменять эти подписи... если видите нестыковки, то бот! Можно же так схитрить? Или делать простенький алгоритм смены полей? Сейчас имя это имя и в админке это имя, через час имя с другим name="", также с телефоном сделать и по револьверу крутить раз в час... либо сделать это как-то при "наплыве"... типа "антикризисный" режим или tpl подключать разный время от времени с разным обработчиком... Изменено 27 августа, 2015 пользователем Maksclub Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) Можно же так схитрить? Или делать простенький алгоритм смены полей? Сейчас имя это имя и в админке это имя, через час имя с другим name="", также с телефоном сделать и по револьверу крутить раз в час... либо сделать это как-то при "наплыве"... типа "антикризисный" режим или tpl подключать разный время от времени с разным обработчиком... можно и даже нужно к названию поля добавить сгенерированный код по типу капчи Изменено 27 августа, 2015 пользователем DaVinci Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 в CartView.php перед // Выводим корзину return $this->design->fetch('cart.tpl'); ставим $code = rand(10000,99999); $_SESSION["field_name"] = $code; в шаблоне <input name="name_{$smarty.session.field_name}" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/> ловим пост $name = 'name_'.$_SESSION["field_name"]; $order->name = $this->request->post($name); Цитата Ссылка на сообщение Поделиться на другие сайты
ps-simpla Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 Denn69 и VadimB напишите в скайп ps-avatar установлю капчу от гугл (reCAPTCHA 2.0) бесплатно, хочу узнать на сколько действенна эта капча Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 У нас первый день тоже так было! Началась утром, след. день началась после обеда. А сегодня долбят с 10 часов и все продолжается и сейчас!Вы когото привлекаете к решению проблемы? вы попробовали приведенный мною метод Цитата Ссылка на сообщение Поделиться на другие сайты
valera Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) Таже фигня. Стали сыпаться фейковые заказы.. Похоже, что капчу вводит человек, поэтому рекапча и прочие капчи вряд ли помогут. Изменено 27 августа, 2015 пользователем valera Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 Таже фигня. Стали сыпаться фейковые заказы.. Похоже, что капчу вводит человек, поэтому рекапча и прочие капчи вряд ли помогут. пробуйте приведенный метод Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 Не ругайтесь пожалуйста, мы тут одним горем собраны! а по делу? был приведен пример, вы воспользовались советом? Нет, тогда зачем вести дальнейшее обсуждение вашего горя? Цитата Ссылка на сообщение Поделиться на другие сайты
valera Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) daVinchiуже запустил, посмотрим.. Этот спамер периодами заказывает, обычно в дневное время... Правильно ли я понял, что в случае спамера $order->name останется пустым? (или заказ не будет сформирован из-за отсутствия этого поля? upd1: разобрался Идея вполне здравая - скорее всего бот, это не бот в обычном смысле.. Это комбинация бота и человека. Бот заполняет все поля данными по образцу, а человек вводит капчу.. Идея daVichi состоит в том, что бот не проходит все страницы и не выловит сессионную переменную со страницы корзины.. Думаю, что это не сработает, т.к. бот загружает сраницы все, которые нужно (а не тупо лепит пост-запросы). upd2: хотя ему придется настраивать парсер иразбираться в логике наименования полей, может и сработать... upd3: пока фейковых заказов нет, посмотрим завтра Изменено 27 августа, 2015 пользователем valera Цитата Ссылка на сообщение Поделиться на другие сайты
ps-simpla Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 тема почищена от хлама. Дальнейшее обсуждение не касаемо темы будет расценено как спам Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) daVinchiуже запустил, посмотрим.. Этот спамер периодами заказывает, обычно в дневное время... Правильно ли я понял, что в случае спамера $order->name останется пустым? (или заказ не будет сформирован из-за отсутствия этого поля? upd1: разобрался Идея вполне здравая - скорее всего бот, это не бот в обычном смысле.. Это комбинация бота и человека. Бот заполняет все поля данными по образцу, а человек вводит капчу.. Идея daVichi состоит в том, что бот не проходит все страницы и не выловит сессионную переменную со страницы корзины.. Думаю, что это не сработает, т.к. бот загружает сраницы все, которые нужно (а не тупо лепит пост-запросы). upd2: хотя ему придется настраивать парсер иразбираться в логике наименования полей, может и сработать... upd3: пока фейковых заказов нет, посмотрим завтра для того что бы настроить бота надо заполнить пресеты формы заказа. как вариант попробовать менять имя обязательного поля, в этом случае и пресет будет не актуален. так как у бота в логике заполнить поле name его в нашем случае не существует, потому как имя постоянно меняется, и даже если бот будет слать пост запрос с полем name форма заказа должна выдать ошибку. надо пробовать. есть еще один вариант. но сперва хочу услышать мнение тех кто протестировал, будет ли работать этот метод или нет. боты разные бывают. Изменено 27 августа, 2015 пользователем DaVinci Цитата Ссылка на сообщение Поделиться на другие сайты
Kors Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так: <label>Имя, фамилия</label> <input name="email" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/> <label>Email</label> <input name="name" type="text" value="{$email|escape}" data-format="email" data-notice="Введите email" /> И при обработке $order->name = $this->request->post('email'); $order->email = $this->request->post('name'); Больше вроде бы и никаких изменений.Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email. Цитата Ссылка на сообщение Поделиться на другие сайты
valera Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так:И при обработке Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email. кроме бота там человек есть... он посмотрит и поменяет настройки бота.. В варианте же DaVinci узнать заранее название поля нельзя.. Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 А связи с этим мысль появилась - сделать проще, поменяв местами имена input-полей, например, так: <label>Имя, фамилия</label> <input name="email" type="text" value="{$name|escape}" data-format=".+" data-notice="Введите имя"/> <label>Email</label> <input name="name" type="text" value="{$email|escape}" data-format="email" data-notice="Введите email" /> И при обработке $order->name = $this->request->post('email'); $order->email = $this->request->post('name'); Больше вроде бы и никаких изменений.Это в надежде на то, что бот будет ориентироваться на названия полей, и тогда проверка даст ошибку неверного email. Вот это я и подразумевал выше! Только хитрее надо, что бы попеременно менялось на (3-4 варианта названий)Такое сложно сделать? Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 кроме бота там человек есть... он посмотрит и поменяет настройки бота.. В варианте же DaVinci узнать заранее название поля нельзя.. А можно все совместить, решение Корса и Давинчи? Цитата Ссылка на сообщение Поделиться на другие сайты
DaVinci Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 (изменено) еще есть вариант генерировать уникальный ключ для поля при определенных условиях- в файле ajax/cart.php. если предположить что товар попадает в корзину вот таким образом demo.simplacms.ru/cart/?variant=12 то бот обходит человеческий путь- при клике на ссылку "перейти в корзину" а при прямом обращении к корзине перебрасывать на главную. и лучше на период обильной атаки урезать прямое обращение к корзине-----и еще надо смотреть заходит ли бот на сайт как человек. для этого в письме заказа надо отправлять ип покупателя и проверять его в счетчике но скорее всего его там не будет Изменено 27 августа, 2015 пользователем DaVinci Цитата Ссылка на сообщение Поделиться на другие сайты
juve123 Опубликовано 27 августа, 2015 Жалоба Поделиться Опубликовано 27 августа, 2015 Сегодня в обед тоже пошли левые заказы, последний был в 21:28. У кого нибудь получилось от этого избавиться? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.