interers

KraftWerk:
C последующим применением санкций и блокированием счета 🤪

vois:
Я уже поднимал тут одну тему, но те обстоятельства, что произошли сегодня, вынудили поднять новую.

Предыстория:

В нашем интернет-магазине поселился некий «Кузя»: неадекватный безработный человек, который ежедневно по 2-3 часа в день на протяжении уже более 2 лет занимается вредительством. За все время он провел безвылазно на сайте более 1 месяца (2 часа * 5 дней * 4 недели * 24 месяца = 960 часов или 40 дней!)

В былые времена он писал на нас абузы, писал шизофренически обращения поддержке, в логе сервера оставлял запросы в поиске вроде (Сердце, где сердце, уравнения, где ответы на мои вопросы, задать вопрос). Также он пару раз заказывал на адрес офиса товары из секс-шопа. Подписывал email-ы на списки рассылки от чего они забивались спамом и т.п. Оформлял заказы на левые данные (телефон: "00000", адрес: "улицу забыл, хата с краю"). Варианты заказов постоянно менялись и отличались оригинальностью и не подвергались бану, т.к. IP он менял, куки чистил и т.п.

Сейчас его действия заключаются в выписке счетов на предоплату на левые данные. Раньше это слегка мешало работать, однако после перехода на 100% предоплату это стало совершенно бессмысленно и подобные действия только портили статистику отказов и гадили базу, поскольку неоплаченные счета никто не читает. В феврале его активность уменьшилась до 5 минут в день, а в марте он полностью пропал. Но объявился, и сделал мега подлянку! Это было затишьем перед бурей.

Сводки с фронта:

Все началось с утра, когда я увидел на мобильнике кучу уведомлений от сервисов мониторинга, что сайт не отвечает, а с работы позвонили и сказали, что у них не работают буквально все компьютеры.

Придя на место, я офигел. Кузя непрерывно, всю ночь, более 12 часов, руками отправил более 15000 тысяч заказов (создание счета+резервирование), добавив в каждый заказ примечание - бессмысленный текст размером в 10мб (ограничение на POST-запрос в веб-сервере). В итоге он в течение 12 часов забил базу данных, размер которой превысил 25 гигабайт, от чего на сервере закончилось свободное место и он повис. Сервер не включался, чтобы его восстановить пришлось подключать KVM(!). Во время восстановления, с утра, после автоматической синхронизации CRM с сайтом легли все компьютеры в офисе, не выдержав импорта базы такого размера(!). Лег и колл-центр.

Для акции он использовал 6 IP-адресов от разных провайдеров: 3 оператора МТС Билайн Мегафон и 3 кабельных операторов. За прокси не сидел. Представьте - провел себе в квартиру 3 кабельных провайдеров, чтобы сделать это! При этом, в его регионе минимальный тариф - 2500 месяц на безлимит, а столько трафика можно нагнать только с безлимита!

В итоге, даунтайм сайта составил более 14 часов (22-12) , парализация работы офиса - 4 часа (9-13).

Приведу примеры из некоторых его заказов (Поля ФИО, Адрес, комментарий):


А вот приложу пример его активности по Вебвизору. 12 часов непрерывной работы copy-paste!


Идти в ментовку и писать заявление о преступлении (если да, то какое? 274 УК РФ?). Вообще удастся ли его найти, если он так неслабо гадит с очень отдаленного региона, но IP не прячет, только меняет, т.к. они динамичные и сбрасываются с переподключением к интернету?

vois:
Пока у нас уволенных и обиженных сотрудников нет, если кто уходил, то только в смежные сферы, а не к конкурентам, которых немного. Но вот откуда Кузя знал про такую дыру для меня загадка, хотя дырой это назвать сложно, таким же образом можно положить даже Озон и Вилдбериес, если ботом послать запросы с кучи прокси, даже если есть ограничение в несколько КБ. В феврале-марте в отпуск уходил только курьер, который вообще не демонстрирует знания компьютера, но на возможность его "подсыла" конечно проверят.




Все-таки основная теория что это кто-то, кому наш магазин сидит в печенках. Но прямые конкуренты находятся в столицах и гадят административным ресурсом, а этот шут находится в северной сибири, где спроса на товар нет. Да и к тому же прямых по сути конкурентов нет - рынок узкий, конкуренты сидят на гос.заказе и воровстве денег из бюджета, мы на обслуживании частных лиц и особо никому не мешаем. Пока никто не хочет раскачивать лодку. Вот в чем загадка!


Да, только что выяснили, он вначале прилаживал программу руками, а потом она автомате по записанным действиям гадила, но то что он 12 часов её контролировал и подкручивал - это 100%.


Да, все-таки, попробуем завтра закинуть. О результатах отпишусь. Скорее всего, придет отказ, но исключать ничего нельзя.


Коллективный разум. Уже от 5 людей слышал :)

vois:
Тут соль в том, что в то время, когда он появился, в его регион доставки не было, следовательно, это не клиент :) Но то, что ему что-то конкретно не нравится и что-то его питает - да, факт, проблема в том, что его никак не сдеанонишь, сам то он не пишет, что хочет! А без возбужденного УД никто не даст сведения о договоре, на кого подключен интернет.


Конечно это это можно сделать. Но повторюсь - если добыть базу в десятку тысяч прокси - можно положить даже Амазон с такими ограничениями или, заставить плотно попотеть.


К сожалению, он оказался не причем, это 2ГИС меня в заблуждение ввел, сказав, что все что а МКАДом - не Москва! Хотя там есть районы.


Возможно. Но какой "отчет" по своей работе он давал своим заказчикам за 2 года? Чтобы они так долго платили, нужно было видеть результат, а он случился только сегодня.

vois:
Нет, он с одноразового ящика написал какое-то шизофазическое послание, я ему ответил (это было еще в самом начале терроризма и я не думал, что лучше вообще игнорить по полной) с просьбой представиться и написать что он конкретно он хочет. Он ответил какой-то бред, что хочет уехать в Красноярск, т.к. его достал капитализм и коммерция, лживость и продажность современного мира, что обман везде, и на макроэкономическим уровне и на нашем, и все, ящик он удалил :) Послание я не сохранил, но это можно в медицинскую экциклопедию написать, наравне с этим

vois:
Это нет бот. Это живой человек, придумывающий различные ФИО плательщиков и их адреса, вроде Хутора Лысого. Много времени на их сочинение тратится. То, что он использовал для сегодняшней акции полуавтоматический софт, может имело место, но опять же, было много ручной работы. На всю ночь. Хотя не факт, что и софт был, капчи там нет (есть JS-защита), мог просто автозаполнение форм включить и жать кнопку "назад" после отправки. Капчи нет потому, что эти счета не обрабатываются человеком и по большой сути там плевать на единичные попадания ботов. Но он положил базу её переполнением, в день там поступает по 100 строк на 3-4кб, а у него одна строка была 10 МБ, что в силу непредусмотренности и привело к переполнению базы. Возможно, он интуитивно понимал принцип работы баз данных и что такие запросы её положат и подготовился к этой террористической акции. Но он явно не профессионал, профессионал бы действительно ложил бы каждую неделю и гимора там было бы больше, пришлось бы делать новую архитектуру защиты.

HardeR:

это чудо с ангельски-невинными глазищами.

Lisa:
domaining, то есть вы за мир во всем мире и за все хорошее против всего плохого. Но сами с паспортом фотографироваться не готовы.

MoMM:
Не вопрос. Это можно организовать.

Но только "размещатель информации" должен будет опубликовать свое фото с паспортом в руках на фоне монитора со своим профилем на серче, домашний адрес и телефон. Чтобы когда к нам обратятся те, кого оклеветали, мы могли предоставить эти данные для преследования клеветника по закону.

Устраивает?