Как сайты сканируют твои порты

Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
Тут намедни встретил похожую деятельность, на этом форуме не видел подобную инфу, ну пусть будет. Древний как кака мамонта способ детекта, но вполне эффективный.
Данный отпечаток по слухам собирают Амазон, Ебей, все финансовые сервисы, Гугл и Яндекс (последние два – похожую на это дело активность отлавливал лично).
Метод откровенно грязный, поэтому после наезда на крупные бизнесы они стали скромней. Но если очень нужно, похоже, по сей день выборочно чекают, что бы задетектить всю сетку. Плюс мы живем в крайне слабом правовом поле. Так же, ввиду нового разделения мира, саты с разных сторон к юзерам из другой части особого почтения не питают. Поэтому на твои права можно начхать, и получить от того же Яндекса через браузер JS скрипт, который делает примерно такое:
98805


Пример старый, двухлетней давности. В примере сайт Сити Банка что делает? Сканирует порты твоей машины. Внаглую. От Яндекса актуальный скриншотик с аккуратной пробивкой не сохранился, звиняйте. И вот это уже за границей добра и зла, так как это нелегальная деятельность в чистом виде. Да-да, с той стороны.
Естественно, хакнуть тебя Сити Банк не хочет. Нафиг ты ему не нужен. А что хочет? Давай разберем.
Запросы идут по портам, где обычно стоят различные популярные сетевые приложения. Что происходит далее? Если порт пустой, т.е. приложения его слушающего нет, то конекшн эррор, и поскольку это твоя локальная машина, этот ответ прилетает мгновенно. А если у тебя там что-то реально слушает этот порт, то далее происходит попытка аутентификации запроса. Большинство таких запросов – шифрованные, и для их расшифровки требуются ключи. Естественно ты Ситибанку не подписывал сертификат на доступ к поднятому тобой личному локальному порносерверу на порту 8080, и твой порносервер честно скажет после обмена инфой, мол ты кто такой, давай, вали отсюда, до свидания. Но это займет время. Которое скриптик зафиксирует. То есть обнаружит работающую службу.
Что это дает? В самом простом случае – отпечаток портов. Так же можно на каком-нить интересном порту найти че-нить не типичное для рядового юзера. Например, в стандартной комплектации Windows 10 и Windows Server ХХХХ, мягко говоря, немного отличаются. Если ты специально не шаманил, то чистосердечно признаешься, что юзаешь серверную ОС. Т.е. ты нифига не рядовой юзер. В бан, животное.
Как бороться:
Кой чего блочит банальный адблок. Но не все, и ты сам признаешься в его использовании, что не всегда гуд. Иногда эту активность пресекают антивири. Но скорее всего зеннопостер у тебя в исключениях. Да и не летит по твоим портам жесткий DDOS постоянно, что бы антивирь резко перевозбудился.
Так же есть софтина, которая садится на все не занятые более-менее популярные порты, и начинает слать ответные приветы на вообще все запросы. Погугли и потести сам, если хошь, я ее не юзал. Так как так ты не только скроешь отпечаток, но и дашь понять, что вертел ты их на… Т.е. нифига ты не рядовой юзер. Но в принципе, это единственное годное решение для многопотока.
Самое правильное – ессно «придумать» отпечаток самому. Т.е. под конкретный профиль подсовывать свой набор «открытых» портов. Но далее в один поток, иначе картинка смажется.
Как решать эту задачу, думай сам. Не маленький уже.
 

Для запуска проектов требуется программа ZennoPoster.
Это основное приложение, предназначенное для выполнения автоматизированных шаблонов действий (ботов).
Подробнее...

Для того чтобы запустить шаблон, откройте программу ZennoPoster. Нажмите кнопку «Добавить», и выберите файл проекта, который хотите запустить.
Подробнее о том, где и как выполняется проект.

Последнее редактирование:
Регистрация
26.05.2020
Сообщения
495
Благодарностей
172
Баллы
43
Ля, они крыыыыыыысы!!!
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
У рядого юзера все эти порты закрыты, что и тебе стоит сделать и всё будет ок, не нужно подсовывать и рандомить. Достаточно с дефолтных слезть, типо рдп 3389.
 
Последнее редактирование:
  • Спасибо
Реакции: westruk
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
У рядого юзера все эти порты закрыты, что и тебе стоит сделать и всё будет ок, не нужно подсовывать и рандомить. Достаточно с дефолтных слезть, типо рдп 3389.
А может наоборот оставить?
Не все так однозначно.
 

westruk

Client
Регистрация
30.03.2020
Сообщения
353
Благодарностей
113
Баллы
43
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93

woober

Client
Регистрация
07.04.2015
Сообщения
211
Благодарностей
123
Баллы
43
А если попробовать подумать?
Ты за роутером через AnyDesk юзать комп не можешь?
подожди, так тут же речь о сети, а ты о приложении... Это разные вещи, абсолютно разные. Большинство сидят за роутерами - это верно, они фактически полностью защищены от каких-либо сканирований, потому что выходят в интернет через NAT. Не защищены от таких сканирований сервера, у которых прописан сразу внешний IP-адрес или у которых провайдер по всем портам отдает им трафик - возможно ты это имеешь ввиду? тогда под эту угрозу они подпадают, но даже в этом случае AnyDesk тут вроде как не причем, так как это клиент-серверное приложение и оно подключается к серверам AnyDesk и не ждет каких-то подключений из вне от кого-то ещё. То есть технически достаточно изменить номера портов, ограничить к ним доступ из вне и не возвращать каких-то сообщений на попытки подключений и в итоге мы имеем хост без признаков открытых портов
 
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
подожди, так тут же речь о сети, а ты о приложении... Это разные вещи, абсолютно разные. Большинство сидят за роутерами - это верно, они фактически полностью защищены от каких-либо сканирований, потому что выходят в интернет через NAT. Не защищены от таких сканирований сервера, у которых прописан сразу внешний IP-адрес или у которых провайдер по всем портам отдает им трафик - возможно ты это имеешь ввиду? тогда под эту угрозу они подпадают, но даже в этом случае AnyDesk тут вроде как не причем, так как это клиент-серверное приложение и оно подключается к серверам AnyDesk и не ждет каких-то подключений из вне от кого-то ещё. То есть технически достаточно изменить номера портов, ограничить к ним доступ из вне и не возвращать каких-то сообщений на попытки подключений и в итоге мы имеем хост без признаков открытых портов
Але гараж!
Ты обычным образом, через браузер, по 80-му (или 443) порту тащишь на свою машину JS скрипт. И он ЛОКАЛЬНО сканит твои порты изнутри.
Какие сети, какие внешние IP, NAT, что ты там еще придумал?
Что это за утро удивительных историй?
 
  • Спасибо
Реакции: westruk

one

Client
Регистрация
22.09.2015
Сообщения
6 833
Благодарностей
1 275
Баллы
113

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
Але гараж!
Ты обычным образом, через браузер, по 80-му (или 443) порту тащишь на свою машину JS скрипт. И он ЛОКАЛЬНО сканит твои порты изнутри.
Какие сети, какие внешние IP, NAT, что ты там еще придумал?
Что это за утро удивительных историй?
Даже если он их просканил что это даёт? На серваке крутится куча хромиум браузер со своими прокси, как это поможет эти браузеры детектить? У меня вот дефолтная винда 10 с ботами и ней ничего не открыто, как собственно и у всех юзеров. Тоесть сайт ничего и не узнал.
 
Последнее редактирование:
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
Даже если он их просканил что это даёт? На серваке крутится куча хромиум браузер со своими прокси, как это поможет эти браузеры детектить?
Так Алексей, детектится конкретная машина. А крутите на ней что хотите. Толку от уникализации браузеров, если известно, что...
Я тут адептов канаваса седьмого дня могу сильно растроить и более интересными штуками, выходящими за браузер. Но решил, что не стоит мне побеждать в конкурсе статей, смысла минимум.
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
Так Алексей, детектится конкретная машина. А крутите на ней что хотите. Толку от уникализации браузеров, если известно, что...
Я тут адептов канаваса седьмого дня могу сильно растроить и более интересными штуками, выходящими за браузер. Но решил, что не стоит мне побеждать в конкурсе статей, смысла минимум.
У меня 10 чистая винда - на ней стоят браузеры. Никаких портов не открыто, дальше что? Что узнал сайт, что вау у меня винда 10 чистая как и у ещё кучи юзеров?
И что сайт будет для всего много потока этот скрипт вызывать? Бред же.

Есть способы детекта куда эффективнее, например что браузерный пинг у тебя до всех серверов мира одинаковый
 
Последнее редактирование:
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
У меня 10 чистая винда - на ней стоят браузеры. Никаких портов не открыто, дальше что? Что узнал сайт, что вау у меня винда 10 чистая как и у ещё кучи юзеров?
И что сайт будет для всего много потока этот скрипт вызывать? Бред же.
Все верно.
Теперь расскажи это всем тем, кто на виртуальных серваках серверную винду юзает по дефолту.
Ну и домашним хомячкам, которые зеннопостер прямо на своей машине запускают.
Думаешь мало таких? Вагон и маленькая тележка.
Это просто еще один отпечаток, который может просимафорить варнинг любой антиботовой системе.
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
Все верно.
Теперь расскажи это всем тем, кто на виртуальных серваках серверную винду юзает по дефолту.
Ну и домашним хомячкам, которые зеннопостер прямо на своей машине запускают.
Думаешь мало таких? Вагон и маленькая тележка.
Это просто еще один отпечаток, который может просимафорить варнинг любой антиботовой системе.
Да, это можно так задетектить, но сам не отрицаешь что способ грязный. Вызывать его надо много раз, хранить кучу данных.
Еще надо перепроверить возможно ли в текущей версии движка такое вызвать, из темы понятно что скрин двух летней давности, политика безопасности гугла и в хромиум такое нерфят обычно и т.д. Буду дома чекну этот способ.
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
Это просто еще один отпечаток, который может просимафорить варнинг любой антиботовой системе.
Чето сильно ударился в эти вне браузерные отпечатки. Всё гораздо проше детектится.

Я могу просто вызвать проверку, если у тебя лицензия WideWine. Погугли что это такое - такую лицензию может получить только браузер "одобренный гуглом". Надо ли мне говорить Chromium сборка зенки не пройдет такое одобрение? Всё нет лицензии - вон вышел.

А есть еще такие вещи как Trust Token, HTTP/3, пинг одинаковый через fetch, вроде банально в хроме появилась фича в JS которая покажет сколько у тебя на жестаке места осталось и сколько оперативки шас не зането. Твои реальный ПК с авито не СПАСУТ ситуацию с свистками в них. Рано ли поздно ты столкнешься, например с тем что оператор сотовой связи будет стучат в тот же яндекс твоё реальное гео (в точности до вышки), так уже делают некоторые операторы за бугром и твоя смена айпи на модеме будет просто ниочем
 
Последнее редактирование:

woober

Client
Регистрация
07.04.2015
Сообщения
211
Благодарностей
123
Баллы
43
Але гараж!
Ты обычным образом, через браузер, по 80-му (или 443) порту тащишь на свою машину JS скрипт. И он ЛОКАЛЬНО сканит твои порты изнутри.
Какие сети, какие внешние IP, NAT, что ты там еще придумал?
Что это за утро удивительных историй?
"Ты обычным образом, через браузер, по 80-му (или 443) порту тащишь на свою машину JS скрипт. И он ЛОКАЛЬНО сканит твои порты изнутри." - Вот теперь понятно все написано. Информация в статье прикольная, большое спасибо за пост, изначально не правильно понял, что идет речь. :-)
 
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
Чето сильно ударился в эти вне браузерные отпечатки. Всё гораздо проше детектится.

Я могу просто вызвать проверку, если у тебя лицензия WideWine. Погугли что это такое - такую лицензию может получить только браузер "одобренный гуглом". Надо ли мне говорить Chromium сборка зенки не пройдет такое одобрение? Всё нет лицензии - вон вышел.
На сколько я понимаю, сертификаты для этой лицензии зашиваются глубоко в движок. Который ты дергаешь в сборе для своей сборки. И ничего тебе не запрещает смотреть тот же Нетфликс через Зенку.
А есть еще такие вещи как Trust Token, HTTP/3, пинг одинаковый через fetch, вроде банально в хроме появилась фича в JS которая покажет сколько у тебя на жестаке места осталось и сколько оперативки шас не зането. Твои реальный ПК с авито не СПАСУТ ситуацию с свистками в них. Рано ли поздно ты столкнешься, например с тем что оператор сотовой связи будет стучат в тот же яндекс твоё реальное гео (в точности до вышки), так уже делают некоторые операторы за бугром и твоя смена айпи на модеме будет просто ниочем
Есть гораздо более неприятные вещи, чем перечисленные тобой. Учитывая, что лично я считаю, что мы полным ходом идем к кастомизации даже ботов, то пусть палят что хотят. Брошу блок на 100 аков в жилую застройку Москвы, да пусть хоть определяются ГЕО. При необходимости масштабирования = так же блоки разбрасывать.
Короче я все глуюже ухожу, до реальных тестов уже не далеко.
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
На сколько я понимаю, сертификаты для этой лицензии зашиваются глубоко в движок. Который ты дергаешь в сборе для своей сборки. И ничего тебе не запрещает смотреть тот же Нетфликс через Зенку.
Неа, и спотифай не включишь.

Есть гораздо более неприятные вещи, чем перечисленные тобой. Учитывая, что лично я считаю, что мы полным ходом идем к кастомизации даже ботов, то пусть палят что хотят. Брошу блок на 100 аков в жилую застройку Москвы, да пусть хоть определяются ГЕО. При необходимости масштабирования = так же блоки разбрасывать.
Короче я все глуюже ухожу, до реальных тестов уже не далеко.
Поэтому не надо упаривается до посинения, просто работаешь с сайтом. Он тебя детектит - смотришь что детектит - фиксишь. Пока еще не пришло время этих приседаний жестких с реальным устройствами с разными гео.

P.S на сливки, зайди в гугл аккаунт свой - где мои устройства через хром. Там будет написано с какого ПК (его имя) ты авторизован.
 
Последнее редактирование:
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
Неа, и спотифай не включишь.
Ну и хрен с ним, на российский рынок ориентирован, в данном случае санкции нам помогут только.
Поэтому не надо упариваться до посинения, просто работаешь с сайтом. Он тебя детектит - смотришь что детектит - фиксишь. Пока еще не пришло время этих приседаний жестких с реальным устройствами с разными гео.
Есть мнение, что траст ранк к акканту расчитывают уже многие. Любители покрутить ПФ могли бы и призадуматься.
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
Ну и хрен с ним, на российский рынок ориентирован, в данном случае санкции нам помогут только.
С ними хрен, но я могу вызвать проверку если у тебя лицензия. Твой пк если будет сидеть с зенки или какого-нить хромиуим сборки без лицензии, и он будет задетекчен. А еще раньше PixelScan детектил safebrowsing, поэтому упарыватся не надо. Захотят задетектят, просто работаешь по ситуации.
 

rastvl

Client
Команда форума
Регистрация
16.01.2019
Сообщения
656
Благодарностей
1 061
Баллы
93
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
P.S на сливки, зайди в гугл аккаунт свой - где мои устройства через хром. Там будет написано с какого ПК (его имя) ты авторизован.
А что вы таки ждали от сервиса, который вам десктопное приложение ставит на комп? Они все играют не честно.
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
А что вы таки ждали от сервиса, который вам десктопное приложение ставит на комп? Они все играют не честно.
Поэтому проблема ботов решается по мере поступления. Вот выйдет завтра супер пупер траст зена 8, хлынет куча школоты - и что? Решение от силы провисит месяц и всё вернутся как и было. Упарываться не надо. Я могу так вообще в дебри полезть - введут регистрацию по сетчатке глаза или отпечатку пальца? Всё твой мулти аккаутинг закончился. Давай у бомжей ходить собирать данные для реги заранее готовится? Хотя вон шас авито упоролось и жестко твой акк к телефону привязала. Любой чих смс. Это ж сколько надо симок иметь реальных.
 

Dr.Pipetka

Client
Регистрация
12.12.2017
Сообщения
1 307
Благодарностей
865
Баллы
113
P.S на сливки, зайди в гугл аккаунт свой - где мои устройства через хром. Там будет написано с какого ПК (его имя) ты авторизован.
Так это хром детектит а не сайт.
Яндекс браузер:
98869
 

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43

Dr.Pipetka

Client
Регистрация
12.12.2017
Сообщения
1 307
Благодарностей
865
Баллы
113
Ну я знаю, надо ли мне говорить что когда в зенке укажешь UA хрома, то гугл это может по взмаху пальца узнать что у там нихера не хром?
Я думаю это по дефолту всем понятно:-) Работать с гуглом с левого браузера и юа хрома = подойти к случайному человеку и представится его сыном:-)
 
  • Спасибо
Реакции: Norim, FastSpace и plastov

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
Я думаю это по дефолту всем понятно:-) Работать с гуглом с левого браузера и юа хрома = подойти к случайному человеку и представится его сыном:-)
Также как и UA яндекса :D - и работать с яндекс, UA EDGE работать с майками.
FF - другой движок.
Opera!
 
  • Спасибо
Реакции: Dr.Pipetka
Регистрация
04.09.2014
Сообщения
455
Благодарностей
639
Баллы
93
Поэтому проблема ботов решается по мере поступления. Вот выйдет завтра супер пупер траст зена 8, хлынет куча школоты - и что? Решение от силы провисит месяц и всё вернутся как и было. Упарываться не надо. Я могу так вообще в дебри полезть - введут регистрацию по сетчатке глаза или отпечатку пальца? Всё твой мулти аккаутинг закончился. Давай у бомжей ходить собирать данные для реги заранее готовится? Хотя вон шас авито упоролось и жестко твой акк к телефону привязала. Любой чих смс. Это ж сколько надо симок иметь реальных.
Походу надо пояснить. Это поступление уже во всю в процессе. Только местная общественность оценивает боты как булево значение. Спалился, или нет. А это не так в большинстве систем, с которыми я работаю по крайней мере.
Наиболее показательно, CEF пф в Яндексе крутит значительно хуже, чем Хром. Но крутит! Т.е. ботам на Хроме доверия больше.
В этой реальности приходиться "крытся" от всего сразу, до чего руки доходят.
Бан бота - это уже совсем предел.

UA EDGE работать с майками.
Я так думаю, что инфой Майки-Гугл-Эпл о юзверях обмениваются. Так что решение снять с поддержки Фаерфокс мне изначально не нравилось. Впрочем, некоторые конкуренты его поддерживают.
 
  • Спасибо
Реакции: FreddyKrueger и Dr.Pipetka

Dr.Pipetka

Client
Регистрация
12.12.2017
Сообщения
1 307
Благодарностей
865
Баллы
113

FastSpace

Client
Read only
Регистрация
05.04.2018
Сообщения
665
Благодарностей
240
Баллы
43
По поводу способа из заголовка - такое себе. Заходит юзер на сайт, ему пачку сканов летит, а тут антивирус закричал. Надо ли объяснять что юзер закроет такой сайт и сайт потеряет деньги? Нужно ли этому сайту этот гемор?
 

Кто просматривает тему: (Всего: 0, Пользователи: 0, Гости: 0)