Вход • Регистрация

Защита от "левых" заказов

  •
  • 10 марта 2015 г.
  • Может быть кто-то сталкивался.
    Есть интернет-магазин. Последние несколько дней резко стали появляться "левые" заказы.
    Те оформляется заказ, введены все данные как у обычного заказа. Телефон, имейл все выглядит реально.
    Мы всегда в любом случае проверяем заказы звонком. Но вот проблема. Эти левые заказы оформлены на телефоны людей, которые и не слышали никогда о нас.

    Магазин специфический и обычно легко определить левый заказ от нормального. Но просто немного достает. Раз в час - пол часа падает левый заказ, приходится звонить, слышать очередное удивление от человека. Отменять. Чтобы товар опять вернулся в продажу.

    Это явно какой-то бот. Но как защититься?
    Как определить ip заказа?

    Какие еще варианты есть защиты? И зачем вообще это делают?

    Спасибо


    • 10 марта 2015 г.
    • Поставьте Метрику или что-то подобное и увидите IP, как и откуда заходят.
      В вебвизоре посмотрите, как делаются эти заказы.
      •
      • 10 марта 2015 г.
      • Посмотрел вэб визор. Суть в том, что нет в нем посещений во время сделанных заказов! О как!
        Что это? Постят в БД напрямую?
        Как защититься?
        • 10 марта 2015 г.
        • Может новый бот "Тайный покупатель"?
          У Вас Вебвизор ботов отслеживает?
        •
        • 13 марта 2015 г.
        • просто блокируют передачу данных от скрипта на сайт метрики. можете проверять доступность сайта метрики если недоступна - скорее всего бот/конкурент
      •
      • 10 марта 2015 г.
      • IP метрика без манипуляций уже с год не показывает! Не так давно сталкивался с этим вопросом, сам был крайне удивлен.
        •
        • 10 марта 2015 г.
        • В Яндекс метрике при генерации кода есть функция отслеживать ботов.
  • 10 марта 2015 г.
  • но ок, а как защититься? кто что использует?
  • 10 марта 2015 г.
  • Изучив информацию в интернете и посмотрев ВэбВизор понял, что это просто дыра движка. Постит прямо в БД,

    Техподдержка Диафан как всегда молчит. Помощи видимо от туда ждать не стоит. Хот это точный косяк разработчика, как мне сказали. Что делать?
    •
    • 10 марта 2015 г.
    • Заказ сделать - это не просто форму заполнить.

      Что-бы что-то записалось в БД есть 2 варианта:
      - исполнение файла на сервере (должны быть записи в логах сервера)
      - прямая запись в БД (хотя обычно такое не встречается, должно быть это безобразие разрешено на хостинге и нужен пароль к БД)

      Только в первом случае можно говорить о вине разработчика cms!

      Есть вариант использования всяких уязвимостей сервера и баз данных, но в этом случае, также разработчик не виноват.
  •
  • 10 марта 2015 г.
  • Меняйте пароль на БД.
    Смотрите логи сервера, какие скрипты запускаются.

    А техподдержка Диафан ВСЕГДА помогает.
    Может быть не сию секунду, но всегда.
    •
    • 10 марта 2015 г.
    • Был бы доступ к базе, наверное чем ни будь по круче бы насолили, чем заказами.
  •
  • 10 марта 2015 г.
  • Мне тоже кажется, что доступа к БД нет. Были бы проблемы повеселее уж точно. А тут просто постится форма и все.
    Читал, что есть такие проблемы у некоторых магазинов. Бот такой. постит прямо в БД как-то
    •
    • 10 марта 2015 г.
    • На а решение какое ни будь в этих статьях предлагается?
  •
  • 10 марта 2015 г.
  • Это я читал. Но решения тут не написано. Как быть-то?
    • 10 марта 2015 г.
    • Звонить "Касперскому"
      У самого магазин, такого геморроя не хоца.
    •
    • 10 марта 2015 г.
    • Странно, что при такой проблеме всего одна статья (других не нашел), с весьма абстрактными методами борьбы (и пришли джедаи).
      Как в индийском боевике, пришла куча ботов, завязался бой, потом дал прикурить хакерам изучив поведенческий фактор этих ботов.
      Конец.
  •
  • 10 марта 2015 г.
  • Да вот программисты говорят - это дыра движка, пусть разработчик исправляет. А разработчик отвечает раз сутки, а то и двое-трое.
  •
  • 10 марта 2015 г.
  • Что то мало информации и жалоб в интернете на проблему, видимо он только вышел на тропу войны :)
    Как и описано в статье, определение по поведенческому фактору, потом думать механизм защиты.
    Подождем годик другой, исследуют, что ни будь напишут.
  •
  • 10 марта 2015 г.
  • а сейчас как работать тогда?
    •
    • 10 марта 2015 г.
    • Покупка только для зарегистрированных тоже не помогает?
  •
  • 10 марта 2015 г.
  • Это вводит дополнительные сложности. Те надо сразу по дизайну доделывать. А так пока на ум приходит только СМС авторизация. Те человек так или иначе все-равно вводит свой мобильный при оформлении заказа. Вижу выход, чтобы сразу после заполнения полей открывалось окно для ввода смс кода. Человеку самом ничего слать не надо, лишь ввести смс код. Далее идет уже оформление заказа в базу. Как-то так
  •
  • 10 марта 2015 г.
  • Капчу то поставили? Не увидел, что что Вы о ней сказали. Пока капчи нет - да приходят заказы. Проверено лично. После установки капчи (причем можно поэкспериментировать, разные типы даже в диафане есть 3 шт) проблем не было.
  •
  • 10 марта 2015 г.
  • Капчу не пробовал ибо не понял как ее добавиь в форму заказа. Вот уже час ищу как ее вставить.
  • 10 марта 2015 г.
  • Но по факту капча мне кажется еще хуже чем получить смс с кодом. Отвечать-то на смс не надо. Толко код ввести на сайте и все. А капчу еще разобрать нужно
    • 10 марта 2015 г.
    • Тут дело не в манипуляциях, а в суевериях.
      У народа к СМС авторизациям недоверие. Да и за телефоном лезть надо.
      Капча, штука уже привычная.
    •
    • 10 марта 2015 г.
    • Можно вопрос - ответ.
      Ну и вопросы из старшей подготовительной группы
  • 12 марта 2015 г.
  • Код
    Оно постится не через сайт, а сразу в БД.
    Бред. Постят они по адресу корзины, как любые комменты, форумы и пр. Т.е. на сайт браузером бот не заходит, в прямом понимании слова, поэтому метрика не отмечает визит.

    Я бы для начала поставил в корзине проверочку, перед оформлением заказа, пустой ли referer и равен ли он нашему сайту. Если там нашего сайта нет - значит это бот, т.к. нельзя оформить заказ не походив по каталогу, очевидно.
    • 12 марта 2015 г.
    • А, ну и алгоритм им надо сломать, адрес корзины сменить, например, или имя обязательных для заполнений полей.
      Но если это всё-таки конкуренты Вашу работу блокируют, мусоря ложными заказами, посадив живого человека, то это не поможет. Но это были бы визиты в метрике тогда.
  •
  • 15 марта 2015 г.
  • От проблемы избавились весьма оригинальным способом. Уточнять не хочу, дабы не давать информацию тем, кому не надо.
    Это был бот, постил прямо в форму. Просто поменять имена полей и тд не достаточно.
    Мир
  •
  • 16 марта 2015 г.
  • Проблема, кстати, массовая. У одного из моих клиентов магазин на ImageCMS. Неделю назад точно такой же атаке подверглись. Получили от вымогателя еще письмо с просьбой решить проблему за 100К
  •
  • 16 марта 2015 г.
  • Ну я не знаю) если магазин серьезный и конкуренты действительно злые) То рано или поздно придется поставить проверку по СМС, обойти все остальные методы можно довольно легко, да и 'авторитет' интернет магазина поднимается когда имеются такие системы как смс уведомления и т.п.
    Хотя если и сделать проверку по смс, то можно обойти, например в YOTA можно менять номер телефона, не знаю правда есть ли там ограничения на это, но опять же, обойти и автоматизировать можно) Ну и если конкуренты не ленивые)
  •
  • 31 августа 2015 г.
  • Всем привет! Столкнулись с такой же проблемой, бот заходит на прямую в корзину и делает фиктивный заказ(( в метрике нет заходов(( Банить ip или диапазон не вариант, так ip и диапазоны меняются каждые 30 минут(((

    Люди добрые подскажите кто как боролся с данной напастью? Очень нужно уже неделю атакуют (((
    • 31 августа 2015 г. , редакция: 31 августа 2015 г.
    • кого-то обидели?
      Делайте проверку юзера или какую-то левую на какой то установленный параметр или ставьте капчу или Ищите безопасника...
      •
      • 31 августа 2015 г.
      • Да нет думаем происки конкурентов или прошлого оптимизатора (

        Делайте проверку юзера - Это обязательная авторизация на сайте ?
        Капча думали об этом но в интернет магазинах её ставит вообще не вар и так конверсия хромает((
        Безопасника - Это как?

        Очень странно почему дыра ещё не закрыта, не ужели это единичные случаи ?
        • 31 августа 2015 г.
        • У Вас есть предложение по каким признакам можно определить левый заказ?
        •
        • 01 сентября 2015 г.
        • Такие вещи обычно решаются в частных порядках.
          Капча и прочие ограничения не вариант. Тут надо творчество.
          Например, на каждого пользака, в его сессию завести переменную, которая по умолчанию 0. Посмотрел человек две-три страницы минимум - переменная=1. Провел на сайте более 1 минуты - переменная=2. И самое главное, на странице корзины, время захода в корзину и время POST в аякс, сабмит формы. Человек же не может заполнить форму заказа быстрее чем за... ну 20 секунд? Не может. Если более 20 секунд и переменная=2, то тогда заказ оформляется в базу. А если нет, т.е. в сессии нет предыдущих страниц (т.е. бот зашел сразу в корзину) и на сайте менее минуты (какой же покупатель забежит, тыкнет купить и сразу оформит заказ?) и форма заказа заполняется мгновенно - это бот, можно ему сообщение "Ваш заказ принят" выводить, но сам заказ в БД не постить.
          •
          • 02 сентября 2015 г.
          • А почему капча не вариант? мне помогла.
            •
            • 02 сентября 2015 г.
            • Не вариант, потому, что это палка в колеса при оформлении заказов обычными покупателями. Они-то деньги ВАм приносят и ни в чем не виноваты.
        •
        • 01 сентября 2015 г.
        • Проверка юзера - это то на живого - так ка написал Виталий ниже или по другому - включайте мозг
  •
  • 02 сентября 2015 г.
  • Еще как вариант вешать функционал кнопки отправит на див и обрабатывать его в аяксе
  •
  • 13 января 2017 г.
  • И у меня на одном сайте появилась такая штука , только у меня товара нет в наличии и он скрыт, а заказы в админке появляются , в Яше ничего не видно . Кто решил как избавиться.
    •
    • 14 января 2017 г.
    • последнее 2 месяца 5 раз было на разных сайтах
  •
  • 24 августа 2018 г.
  • Так и не поняла, пришли к какому-то знаменателю или нет?

    У меня месяц уже на двух сайтах такое. (хосты разные, тематика сайтов разная).
    На том конце провода автоответчик несет какую-то чушь. Отличить этот фейковый заказ от реального невозможно, пока не сделаешь прозвон.

    Хотелось бы услышать мнение тех, кто уже сталкивался.
    Капчу стоит попробовать?

    П.С. То, что выше предлагал Виталий - интересно, но не знаю, с какой стороны подойти к решению.
  •
  • 24 августа 2018 г.
  • Цитата
    Капчу стоит попробовать?

    Я своих клиентов спас только капчой "Вопрос Ответ", остальные, картинки и рекапчу, боты проходили.
    •
    • 24 августа 2018 г.
    • Попробую сначала это. Посмотрю на результат. А то 15 штук в день - перебор уже.
    •
    • 25 августа 2018 г.
    • Самый лучший вариант использовать http://htmlbook.ru/html/attr/contenteditable + JS

      Тогда точно левых заказов не будет
      •
      • 25 августа 2018 г.
      • А вот это вообще интересная тема.

        Сегодня стала смотреть внимательнее и анализировать, как создаются заказы, в каком виде они приходят и т.д.

        Выяснила что:
        1. ip постоянно меняется, т.е. сидят через проксю. Следовательно банить ip не имеет смысла. У нас и честные граждане периодически пользуются этим.
        2. В форме заказа, в поле "телефон" имеется маска для занесения +7(__)_____. Т.е. когда я заношу руками телефон или копирую его откуда-то, то телефон преобразуется под маску.
        Что я вижу в заказе в админке? Телефон 8945.........
        Т.е. формой отправки заказа в принципе не пользуются. Бот сразу постит заказ, видимо, через какую-то комбинацию в строке браузера.

        П.С. Не найду решения - вообще кнопку купить отрублю, пусть звонят на телефон.
        • 26 августа 2018 г.
        • Как вариант - генерировать форму заказа через js

          или так

          var form_html = 'тут весть код формы, сгенерированный php-шкой';

          $("$form_zakaz").html(form_html);
  •
  • 28 августа 2018 г. , редакция: 28 августа 2018 г.
  • Еще один из способов:
    Использовать скрытые поля и если они будут заполнены, то отключать функцию отправки, либо отправлять в еб*ня такие сообщения.
    Код
    <input type="hidden">


    Если робота надрессировали обходить тип hidden, можно попробовать убрать поле за видимую часть (позиционирование). Назначить определенный класс и ловить если поле с этим классом заполнено. И так же при заполнении, реджектить.
    Код
    <input style="style="position:absolute; left:-9999px;"" class="faggots">


    Так же заблочить всю подсеть DO, кто там vpn держит и сидит через него, выдывать заглушку.
    • 29 августа 2018 г.
    • Да и при втором варианте с faggots, надо учитывать тех, кто перемещается с помощью кнопки tab
    •
    • 29 августа 2018 г.
    • Цитата
      заблочить всю подсеть DO

      Не совсем понимаю. Вы предлагаете по ip банить?
      •
      • 29 августа 2018 г.
      • Да, банить ip сети vps сервисов, т.к. зачастую оттуда все и идет.
        Конечно, с этим нужно быть аккуратным.

        Посмотрите кому принадлежат ip с которых идет спам.

        p.s. еще в логах апача, очень много интересного, как пытаются найти админку, настройки, проверить cms и т.д. и все это в основном с vps сервисов.
        •
        • 29 августа 2018 г.
        • А. Ну этот вариант в корне не подходит. Источник: Германия, Китай, США и прочее, и прочее. Т.е. запускают через проксю, забанить все эти адреса просто нереально.

          П.С. Логи хоста смотрела. Перебирают известные адреса: фидбек, контакты и прочие страницы, где может существовать форма обратной связи. Прямо по порядку одинаково каждый день.

          П.П.С. Сейчас проверяю один вариант по подсказке ТП. Пока заказов нет, но это еще не 100%, потому что они всегда в разное время лезут, может еще и не запускали нам бота. Через сутки логи проверю.
          •
          • 29 августа 2018 г.
          • Я как-то гулял по западным магазинам, смотрел и часто натыкался на такое: https://www.snapdeal.com/ - когда целые регионы блочат.

            Цитата
            Перебирают известные адреса: фидбек, контакты и прочие страницы, где может существовать форма обратной связи.

            Мне кажется тут кто-то целенаправленно все же распределит.
            • 29 августа 2018 г.
            • Прикольно.
              По идее да. У нас торговля по России и остальные страны нам нафиг не нужны. Так что в крайнем случае можно и так поступить. Хотя и это не идеальное решение.

              Капчу, возможно, придется поставить, но я это на самый крайний случай оставляю. Не хочу напрягать настоящих клиентов.
    •
    • 29 августа 2018 г.
    • Хорошие способы, только в обработчик формы лезть надо.

      Мне кажется роботы сразу посылают POST по адресу атрибута action у формы, так что можно наоборот JS'ом создавать скрытое поле и его условное заполнение проверять уже в обработчике.
  •
  • 29 августа 2018 г.
  • Цитата
    заблочить всю подсеть DO
    У того же DO есть услуга Float IP, которая за 5 секунд перекидывает подсеть. И один резервный IP там всегда бесплатный. Так что получатся такие же пляски, как у РКН с Телеграм. Всё вокруг заблокируется и сломается, а боты так и будут формы отправлять. Надо какой-то вариант, не привязанный к фильтрации, а привязанный к действию.
    •
    • 29 августа 2018 г.
    • Ну вот за последние сутки ни одного заказа еще не пролетело, однако, судя по логам, он заходит каждые 2 часа и висит на сайте по полчаса, шарится, ищет дыру, куда спам можно впихнуть.

      Вот пример, куда лезет (за полчаса он 5 сотен страниц пытается открыть):

      Код
      "POST /mail.php HTTP/1.0"
      "GET /mail.php/ HTTP/1.0"
      "POST /mail HTTP/1.0"
      "GET /mail/ HTTP/1.0"
      "POST /feedback HTTP/1.0"
      "GET /feedback/ HTTP/1.0"
      "POST /feedback.php HTTP/1.0"
      "GET /feedback.php/ HTTP/1.0"
      "POST /action HTTP/1.0"
      "GET /action/ HTTP/1.0"
      "POST /action.php HTTP/1.0"
      "GET /action.php/ HTTP/1.0"
      "POST /callmeback HTTP/1.0"
      "GET /callmeback/ HTTP/1.0"
      "POST /callmeback.php HTTP/1.0"
      "GET /callmeback.php/ HTTP/1.0"
      "POST /getcall HTTP/1.0"
      "GET /getcall/ HTTP/1.0"
      "POST /getcall.php HTTP/1.0"
      "GET /getcall.php/ HTTP/1.0"
      "POST /getcall.html HTTP/1.0"
      "GET /getcall.html/ HTTP/1.0"
      "POST /sm.php HTTP/1.0"
      "GET /sm.php/ HTTP/1.0"
      "POST /sm.php.html HTTP/1.0"
      "GET /sm.php.html/ HTTP/1.0"
      "POST /index HTTP/1.0"
      "GET /index/ HTTP/1.0"
      "POST /index.php HTTP/1.0"
      "POST /callme HTTP/1.0"
      "GET /callme/ HTTP/1.0"
      "POST /callme.php HTTP/1.0"
      "GET /callme.php/ HTTP/1.0"
      "POST /contacts.php HTTP/1.0"
      "GET /contacts.php/ HTTP/1.0"
      "POST /mail3.php HTTP/1.0"
      "GET /mail3.php/ HTTP/1.0"
      "POST /mail_4.php HTTP/1.0"
      "GET /mail_4.php/ HTTP/1.0"
      "POST /process.php HTTP/1.0"
      "GET /process.php/ HTTP/1.0"

Новости

  • Не пропустите сборку DIAFAN.CMS 7.1.4
  • 24 апреля, среда
  • В новой сборке совершили революцию в структурировании кастомизированной информации в шаблонах, добавили авторегистрацию пользователей, усовершенствовали защиту от спама, актуализировали накопительную скидку, а также улучшили производительность и стабильность работы системы.
  • Сборка DIAFAN.CMS 7.1.3
  • 12 января
  • После выхода сборки 7.1 мы выпустили уже три патча, в каждом из которых улучшаем административную часть сайта. Сборка DIAFAN.CMS 7.1.3 уже доступна к установке. 
  • Новость. Сборка. Тарифы
  • 15 декабря 2023 г.
  • Подводим итоги 2023 года. Выпустили новую сборку DIAFAN.CMS 7.1.1, вводим новые тарифы на аренду сайта и коммерческую поддержку и автообновления с января 2024 г., строим планы на будущий год.
Все новости