Odcięcie pasożyta

[YagAA 2]

Witam,

 

mam serwis umożliwiający pobieranie plików z kont premium. Pod mój serwis podpina się nieuczciwa konkurencja i wykorzystuje zasoby mojego serwera i łącza. Zablokowałem ich IP i całą pulę, ale to nic nie dało. Łączy się curlem i wypluwa gotowy link do pobierania przez mój serwer. Co mogę z nim zrobić ? Czy mogę to zgłosić gdzieś ? Mam dowody (strona zrobiona do pobierania z mojej), która umożliwia taką działalność. Struktura mojego serwisu - na koncie współdzielonym znajduje się samo www, przez dedykowany przepuszczane jest ściąganie plików.

[YagAA 2]

Współdzielony mam u Was ;-) Zgłosiłem wczoraj do konsultanta prośbę o wycięcie całej puli, co zrobił, bo wczoraj skrypt nie działał, dzisiaj jednak musiał udoskonalić skrypt i działa (łączy się przez proxy albo coś). U siebie na dedyku też mam wyciętą całą pulę, i też nic nie daje.

[YagAA 2]

Ale czy to nie będzie walka z wiatrakami ? Może łączyć się przez następne proxy, i każde trzeba będzie blokować :/

[t4t4v4 3]

Modyfikacja skryptu w celu wymuszenia captchy przy każdym pobieraniu

Zablokowanie listy znanych proxy (publicznych).

[t4t4v4 3]

To zezwól na dostęp tylko polskim pulom adresów IP i wywalić proxy nie będzie trudno, na jakiś czas..

[kafi 2425]

Cóż, moralność Kalego.

Jak Kali "oszukiwać" seriwsy premium (no bo powodujesz, że lud nie kupuje u nich kont premium) to dobzie, ale jak Kalego oszukiwać, to już źle...

 

A merytorycznie: spowoduj, żeby c-urlem nie dało się w sposób bezpośredni uzyskać linka do pobrania.

Może jakiś zaawansowany JavaScript z odpowiednim ustawianiem ciasteczek, może jakiś applet Java do pobierania?

[YagAA 2]

Cóż, moralność Kalego.

Jak Kali "oszukiwać" seriwsy premium (no bo powodujesz, że lud nie kupuje u nich kont premium) to dobzie, ale jak Kalego oszukiwać, to już źle...

 

A merytorycznie: spowoduj, żeby c-urlem nie dało się w sposób bezpośredni uzyskać linka do pobrania.

Może jakiś zaawansowany JavaScript z odpowiednim ustawianiem ciasteczek, może jakiś applet Java do pobierania?

 

Coś w tym jest ;-) Każdy się chce chronić, jak tylko może.

Java odpada, javascript hm. Może jakieś inne rozwiązania ?

[Maq 73]

Ograniczenie ilości jednoczesnych połączeń z jednego IP?

[YagAA 2]

To też nic raczej nie da, bo jak ktoś będzie chciał pobierać kilka rzeczy na raz, to nie będzie mógł. Wolałbym jakieś inne rozwiązanie.

[YagAA 2]

Niestety nie. Skrypt, który zabiera mi łączę polega na tym, że podaje się link do jakiegoś pliku, który chce się pobrać, skrypt przetwarza ten link i wyrzuca już przerobiony i zahashowany link do ściągnięcia (ip innego serwera, które jest i tak zablokowane na dedyku i na współdzielonym razem z całą pulą). A jeśli to już jest zrobione, i ja dodałbym captchę, to żaden problem, żeby i on dodał captchę, i jak ktos będzie chciał to po prostu ta osoba będzie musiała wpisywać captchę, więc to nie rozwiązanie. Trzeba jakoś zablokować curla, albo coś.

[Gość AceDude]

Nie wiem jakie dokładnie masz możliwości, ale ja bym starał się cwaniaka skompromitować. Przekierowania na wirusy na przykład.

[Maq 73]

To też może być tylko chwilowe rozwiązanie, ale może zablokuj user agenta.

[YagAA 2]

Nie wiem jakie dokładnie masz możliwości, ale ja bym starał się cwaniaka skompromitować.

 

Też bym chciał ;-) Tylko jak ? IP jego serwera jest już zbanowane, ale to nie pomaga.

 

O co konkretnie chodzi z blokadą user agenta (nie tłumacz, co to jest, tylko, o co dokładnie chodzi)

[Maq 73]

Jego skrypt który pobiera dane musi się jakoś przedstawiać serwerowi, bez względu na to z jakiego IP korzysta, bardzo łatwo jest to zmienić, ale może chwilę mu zajmie dojście do tego czemu mu skrypt nie działa

[YagAA 2]

To kilkugodzinne/jednodniowe rozwiązanie, wolałbym coś dłuższego. Czy mogę to gdzieś zgłosić, że korzysta z moich serwerów (bez mojej zgody) ?

[Maq 73]

Może i kilku godzinne, ale implementacja zajmie Ci dosłownie tylko chwilkę.

Kwestia jest jak szybko i czy w ogóle wpadnie na pomysł że to może być taka przyczyna

 

Najlepsze są niekonwencjonalne zabezpieczenia zrobisz takie zabezpieczenie, dorzucisz jeszcze z dwa-trzy podobne i może mieć bardzo duży problem z dojściem co go blokuje.

[kafi 2425]

Teraz już zupełnie serio: a ty masz jakieś zgody od file-data-providerów, że możesz odbierać im zysk z kont premium?

Nie? No to dopowiedz sobie, czy jeśli oni by mogli, to by takich serwisów jak twój nie blokowali (zarówno technicznie, jak i prawnie)? Możesz co najwyżej utrudnić co nieco poznanie tego tajemniczego urla przez jakieś JavaScripty, albo dać własnego download managera (we wspomnianej przeze mnie Javie), który odszyfruje pobrany pliczek.

Edytowano Październik 16, 2011 przez kafi (zobacz historię edycji)

[Gość mSurf.eu]

Teraz już zupełnie serio: a ty masz jakieś zgody od file-data-providerów, że możesz odbierać im zysk z kont premium?

Nie? No to dopowiedz sobie, czy jeśli oni by mogli, to by takich serwisów jak twój nie blokowali (zarówno technicznie, jak i prawnie)? Możesz co najwyżej utrudnić co nieco poznanie tego tajemniczego urla przez jakieś JavaScripty, albo dać własnego download managera (we wspomnianej przeze mnie Javie), który odszyfruje pobrany pliczek.

 

File-data-provider nic nie traci, bo YagAA kupuje te konto premium, i dokupuje transfer tak, aby starczało każdemu użytkownikowi. Więc jak on kupi transfer 100 GB, albo 10 osób kupi 10 GB transferu, to wychodzi na to, że file-data-provider jednak zarobił coś, czego by nie zarobił bez serwisu Yagii.

[Maq 73]

Z tego co się orientuję to większość serwisów oferuje nielimitowane transfery, także na jednym koncie @YagAA generuje kilkaset razy większy ruch niż zwyczajny użytkownik który wykupił takie same konto premium, za te same pieniądze.

[kafi 2425]

File-data-provider nic nie traci, bo (...)

IMO jednak traci, bo jeśli przeciętny Kowalski ma dosyć limitów, to kupi sobie konto premium.

Nawet i po to, żeby wykorzystać je tylko w kilku procentach.

A tu jest wykorzystanie jednego w całości jego możliwości.

Ot poprostu owe konta także skalkulowane są pod jakiś tam poziom oversell, a takie serwisy w wyjątkowy sposób to ratio zakłócają

[Gość Kamikadze]

A może dodaj do pobierania jakiś skrypt captcha. Np. Przed pojawieniem się okienka playera / linku do pobrania musisz przepisać obrazek czy coś

[YagAA 2]

Możesz co najwyżej utrudnić co nieco poznanie tego tajemniczego urla przez jakieś JavaScripty

 

Mógłbyś powiedzieć, o co dokładnie chodzi ? W jaki sposób itp. Chodzi o zahashowanie kodu strony ?

 

Java i captcha odpada.

[crazyluki 114]

Nie masz wrażenia że ogólnie aplikacja jest źle napisana skoro można korzystać z Twojego dedyka bez Twojej wiedzy ?

Może jakieś zabezpieczenie że jak doda się url przez Twoją stronę to tylko wtedy można go wykorzystać na dedyku do pobrania czegoś?

[YagAA 2]

Tamta strona wykorzystuje curl do połączenia się z moją stroną, wyciąga hash i korzysta z serwera. Tylko ze współdzielonego można się połączyć z dedykiem, i jest jeszcze zahashowana nazwa ściąganego pliku, więc myślę, że zabezpieczenia są ok.

[crazyluki 114]

Curl ? zrób logowanie przez formularz we flashu;-)