Mensajes

Hola a todos,

Muchos ya conocéis WPE PRO, muy usado para tumbar servidores de juegos o para beneficiarse de vulnerabilidades, crear cheats, etc.

Para quien no sepa de que hablo en este mismo foro hay un post donde se explica muy bien: http://foro.elhacker.net/ingenieria_inversa/tutorial_wpe_pro_captura_modifica_y_envia_paquetes_tcp_cheats_juegos-t405121.0.html

Lo que no he podido encontrar, es como defenderse de este tipo de ataques, ¿que podemos hacer si tenemos un sistema de este tipo y queremos defendernos?

Yo vengo del PHP, allí ya es muy común usar tokens en los formularios, ese token caduca cada segundo por ejemplo, de esa forma un atacante debe siempre usar un token válido para realizar un ataque y este caduca cada segundo.

Un saludo!

Hola,

La maquina es de Kimsufi, Ks4
http://www.kimsufi.com/es/

Core i7-920 2.66 GHz+
16 GB Ram
100 Mbps

Gracias!

Hola,

Tengo un servidor Ubuntu 14.04, hosteo un juego y una web, estoy recibiendo ataques DDOS, creo que son pequeños, necesitaría alguien como consultor freelance que esporadicamente resolviera dudas y realizara una configuración inicial del firewall, así como realizar algunas pruebas que garanticen que el server puede rechazar los ddos.

Gracias,

* Creo que es el foro adecuado, si no es así que un mod lo mueva, sorry.

Gracias Moikano y #!drvy, no necesito el código no te preocupes, usaré Laravel.

Me lo habéis preguntado por privado pero no es ningún secreto, no lo he dicho porque no me parecía relevante, el juego es travian.

Sigo teniendo mis dudas con lo del JS, creo que es la manera mas fácil de detectar un bot, puedes hacer procesos ocultos en JS, ocultos me refiero a difíciles de encontrar, con el js minificado y todo imagínate... seguro que se me escaparía algo, además, ¿quien va entrar a un juego sin JS? A la mínima sospecha te investigan un poco y te pillan, más si empiezas a aparecer en los tops..

En travian me he fijado que hasta la mayoría de los links se ejecutan con JS, ya se que no importa y que los puedo ejecutar sin JS, pero claro, el juego sin JS no funciona, así que si no tienes js activado es que o no puedes jugar, o eres un bot.

Otro impedimento es el movimiento del mouse, si el mouse no se ha movido y estás realizando procesos.. pillado, por eso digo que el JS lo encuentro vital, a lo mejor me equivoco y no controlan tanto, pero yo lo haría desde luego.

Para lo del mouse podría emular el user agent de un smartphone, aquí no hay movimientos de mouse. ( pienso mientras escribo ;P )

Al final la idea e hacer un bot indetectable de verdad, casi perfecto, bots que ejecutan peticiones por curl y eso ya existen, pero los acaban pillando, creo que hay que cuidar mucho los detalles y el js es un detallazo...

Lo digo porque no puedes entrar con 'js activado' usando curl por ejemplo. Básicamente porque curl no tiene un interprete de javascript.

Ya, por eso comentaba lo de casperJS, o phantom como dice moikano, si yo me dedicara a pillar bots, la primera validación sería algún proceso en JS, de esta manera ya descartas todas las peticiones CURL.

Un ejemplo tonto, una suma en JS que envía el resultado por ajax al server, si el resultado no se envía o es incorrecto no estás usando JS y eres sospechoso..
Lo mismo en el envío de un formulario, realizas una operación en js con 2 valores que vienen del server y envías el resultado en un hidden del formulario, sin js.. si el resultado que hay en el hiden no concuerda.. banned!

Si te interesa te puedo mostrar la lógica que uso y los scripts.

Me encantaría gracias, revisaré phantomJS.

Resumen de lo que debería tener en cuenta:

- User Agent falsificado.
- Header Falsificado, acorde al user agent, (chrome x ejemplo)
- Ip válida (Entiendo que si lo ejecuto en local desde mi maquina de momento chapó)
- Ejecutar javascript (Creo que esto también es estrictamente necesario)

¿Se os ocurre alguna cosa más?

Gracias, un saludo.

Buenas!

Estoy pensando en hacer un bot para un juego de navegador.
Tengo algunas dudas en las que creo que me podríais arrojar un poco de luz.

Todavía no lo he pensado mucho pero en principio la idea sería hacerlo en php ( seguramente bajo Laravel, estoy enamorado ;P ) realizando peticiones curl contra el server, de esta manera podría controlarlo desde cualquier sitio, totalmente online.

La gran duda que tengo es si sería detectable, en peticiones curl entiendo que puedo falsificar el user agent, ¿pero sería la mejor manera?

Es decir, ¿es posible realmente esconderle a un servidor que eres un bot? ¿Falsificando el useragent y entrando con js activado ya eres indetectable? ¿o tengo que tener en cuenta algo más?

No hay captchas de por medio, en principio..

Podría utilizar alguna herramienta de scrapping tipo casperJS, o no sé, quería pediros consejo sobre como realizar las peticiones, si se os ocurre alguna herramienta o framewrok.

Que las peticiones sean 100% indetectables es la base de todo, luego ya me cuidaría de no generar patrones de conducta, tener randoms de tiempo entre las peticiones etc..

Gracias,
Un saludo!

ok, digamos q tengo dos capas, pero el contenido lo pondre en tablas.. es decir las tablas dentro de capas...

como muevo la capa de la tabla dos sobre la otra?... con posición absolute?

No deberías usar tablas para mostrar otra cosa que no sean datos.

Aun así, para posicionar elementos con absolute tienes que ponerle al padre del elemento que quieres posicionar un position relative y así tomar a este como referencia usando top, left, bottom, right.

Código (html4strict) [Seleccionar] Expandir

<div id="padre" style="position:relative;">
  <div id="elemento_para_posicionar" style="position:absolute; top:2px; left:5px;"></div>
</div>

Un saludo.

Hola,

Estoy buscando una empresa que ofrezca un servicio como este:
http://en.gandi.net/domain/reseller/

Básicamente ofrece dominio con 5 cuentas de correo incluidas, eso si el precio son 15 eur anuales, que por otro lado no es tan descabellado viendo precios de mail hosting.

Necesito poder gestionar una gran cantidad de dominios en un solo sitio/panel (reseller) y que además tengan el hosting de correo incluido aunque sea para un par de cuentas por dominio.

¿Conocéis algo parecido?

Gracias, un saludo.

Hola,

¿Alguien sabe donde puedo encontrar una base de datos de smartphones?

Gracias,
un saludo.

[1. Nat de toda la vida.]

Hola.

¿Qué has intentado hacer hasta el momento? Si tienes router, tendrás que abrir en el mismo, el puerto en el que tengas el server escuchando (80 o el que sea) contra la IP de la VM. ¿Cómo has configurado la red entre el host y la VM?

En este mismo foro, si buscas, encontrarás muchos hilos sobre resolución de estos temas.

Un saludo.

Hola HdM,

Tengo la máquina virtual con un bridge, intento redirigir el puerto 80 a la ip (estática) de mi servior virtual, pero nada, el alias de no-ip siempre me lleva al panel de configuración del router.

Puede que no esté haciendo bien la redirección en el router, pero es que tengo el router livebox de orange con un firmwire muy puñetero, no sé exactamente donde tengo que crear la regla.

1. Nat de toda la vida.



Donde pone dispositivo es la ip de la máquina virtual, el livebox la asocia a un nombre..

2. Firewall del livebox.



¿Se supone que en Nat no?

Un saludo.