Главная страница форума
Сайт TERA Online (в новом окне)

  
Вернуться   Форум - TERA Online > Основной форум > EU > Гайды

Ответ
 
Опции темы Опции просмотра

Как Frogster следит за пользователями или борьба с User Authentification Failed
Старый 09.02.2013, 10:35   #1
omfgzor
Новичок
Очки: 2,059, Уровень: 27
Очки: 2,059, Уровень: 27 Очки: 2,059, Уровень: 27 Очки: 2,059, Уровень: 27
Активность: 20.0%
Активность: 20.0% Активность: 20.0% Активность: 20.0%
Последние Достижения
 
omfgzor вне форума
Регистрация: 08.02.2013
Сообщений: 4
Репутация: 7
Раса персонажа: High ElfКласс персонажа: Lancer
По умолчанию Как Frogster следит за пользователями или борьба с User Authentification Failed

UPD1(cкорее всего нерабочий): http://forum.tera-online.cc/showpost...9&postcount=11один из возможных вариантов обхода бана по железу+софт.
UPD2: http://forum.tera-online.cc/showpost...0&postcount=14мысли, план дальнейших действий. Требуется помощь, один я не справлюсь за приемлемое время.

Итак, надеюсь я понял, почему некоторых не пускает ни в один аккаунт. Почему происходит UAF. Почему у одной тян с одного и того же клиента игры заходило с ноутбука, но не заходило со стационара. Почему некоторые говорят, что это бан по железу, а некоторые — что бан аккаунта/прокси.

Знакомьтесь... Пикрелейтед — лог проксифаира.



Заметьте mpsnare.iesnare.com, после гугления которого я обнаружил вот такую штуку (что забавно, написанную ещё в 2008 году):

[доступно только зарегистрированным пользователям, регистрация]
tl;dr:

It is quite simply a worldwide, online, profit-driven computer blacklist capable of uniquely identifying your machine (once submitted to the database) whenever you visit any site, or use any product, protected by the ieSnare system. In iovation's own words:

iovation ReputationManager utilizes proprietary methods to uniquely identify devices connected to the Internet, creating unique identification for them that remain constant across all subscribing online businesses. For example, a PC device connecting to one online gaming or e-commerce site protected by iovation ReputationManager is assigned a device identifier by the same method used to identify PCs connecting to other e-commerce sites/networks protected by the system.

Hello, Big Brother.

Как это ни странно звучит, но финансирует Большого Брата... угадайте кто?

[доступно только зарегистрированным пользователям, регистрация]

Итак, мы имеем дело с Iovation, самой грязной системой слежения за людьми.
Что делать? Гуглить...

Нашёл пока что вот такие пироги:

[доступно только зарегистрированным пользователям, регистрация] (Iovation)
[доступно только зарегистрированным пользователям, регистрация] → возможно, деобфускированный исходник скрипта ([доступно только зарегистрированным пользователям, регистрация])
[доступно только зарегистрированным пользователям, регистрация]
[доступно только зарегистрированным пользователям, регистрация]

Итак, судя по всему, эта система как минимум собирает следующую информацию о машине:
1. Движок браузера
2. Языковые настройки
3. Версия ява-скрипта
4. Часовой пояс
5. Текущее время/дата
6. Название браузера
7. Версия браузера
8. Версия и название ОС
9. Язык ОС
10. Разрешение экрана...

Отпечаток формируется по этим параметрам и в итоге преобразуется в свёрток, лежащий по следующему адресу:
"C:\Documents and Settings\%Username%\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UW6J2PHS\mpsnare.iesnare.com \stm.sol"
Проще всего найти заразу можно по поиску (iesnare) в винде или каком-нибудь файловом менеджере. Я использовал Far Manager. Алсо использовал Process Monitor от Sysinternals, чтобы выцепить название stm.sol, чего и следовало ожидать от TERA-Launcher.exe: [доступно только зарегистрированным пользователям, регистрация]
Видно, что лаунчер прочитывает файл stm.sol, содержащий отпечаток машины. Я пробовал удалять его — он появляется после ввода логина/пароля и нажатии Login. Пробовал делать его только для чтения (в Far Manager это комбинация клавиш Ctrl+A: [доступно только зарегистрированным пользователям, регистрация]), при этом изменяя содержимое на несколько байт — UAF. Пробовал взять stm.sol с ноутбука и сделать его только для чтения — в результате всё тот же UAF.

В общем и целом осталось понять, сколько запчастей нужно сменить, чтобы программа считала нас другой машиной. Очевидно, что меняя лишь часть железа/софта (смена MAC/ОСи/винчестера/...), тем самым получается только хуже — эта дрянь отслеживает такие вещи и в дальнейшем помечает нас как мошенников, что есть неприятно.

В тред призываются люди, владеющие навыками дизассемблирования и работой в SoftIce. Самое простое — научить лаунчер принимать любой ответ от серверов iovation. Или же каким-то образом подсунуть ему "чистый" stm.sol. А может я ошибаюсь и stm.sol нужен только для проверки, в то время как генерация софтожелезного набора происходит каждый раз и передаётся по интернету.

А ещё я не один об этом догадываюсь.. [доступно только зарегистрированным пользователям, регистрация]

Последний раз редактировалось omfgzor; 10.02.2013 в 22:59..
  Ответить с цитированием

Старый 09.02.2013, 11:24   #2
Kentvlad
Пользователь
Очки: 2,771, Уровень: 32
Очки: 2,771, Уровень: 32 Очки: 2,771, Уровень: 32 Очки: 2,771, Уровень: 32
Активность: 60.0%
Активность: 60.0% Активность: 60.0% Активность: 60.0%
Последние Достижения
 
Kentvlad вне форума
Регистрация: 14.04.2011
Сообщений: 52
Репутация: 1
Отправить сообщение для Kentvlad с помощью ICQ
Раса персонажа: High ElfКласс персонажа: Archer
По умолчанию

О_о фигасе.....В общем берем отдельный системник, ставим буржуйскую винду, часовой пояс прокси только для Tera ...
  Ответить с цитированием

Старый 09.02.2013, 11:40   #3
Farvater
Пользователь
Очки: 2,152, Уровень: 28
Очки: 2,152, Уровень: 28 Очки: 2,152, Уровень: 28 Очки: 2,152, Уровень: 28
Активность: 0%
Активность: 0% Активность: 0% Активность: 0%
Последние Достижения
 
Farvater вне форума
Регистрация: 16.03.2012
Сообщений: 37
Репутация: 1
Раса персонажа: CastanicКласс персонажа: Sorcerer
По умолчанию

Цитата:
Сообщение от Kentvlad Посмотреть сообщение
О_о фигасе.....В общем берем отдельный системник, ставим буржуйскую винду, часовой пояс прокси только для Tera ...
вспоминаем обт Японии)
  Ответить с цитированием

Старый 09.02.2013, 12:53   #4
1408
Пользователь
Очки: 1,052, Уровень: 17
Очки: 1,052, Уровень: 17 Очки: 1,052, Уровень: 17 Очки: 1,052, Уровень: 17
Активность: 99.0%
Активность: 99.0% Активность: 99.0% Активность: 99.0%
Последние Достижения
 
Аватар для 1408
 
1408 вне форума
Регистрация: 05.04.2012
Сообщений: 77
Репутация: 1
Раса персонажа: PoporiКласс персонажа: Lancer
По умолчанию

не очень вкурил, если удалить файлик и поменять несколько из этих десяти параметров и потом снова открыть ланчер, то юаф минует нас?
  Ответить с цитированием

Старый 09.02.2013, 13:24   #5
Uix
Ветеран
Очки: 3,833, Уровень: 39
Очки: 3,833, Уровень: 39 Очки: 3,833, Уровень: 39 Очки: 3,833, Уровень: 39
Активность: 0%
Активность: 0% Активность: 0% Активность: 0%
Последние Достижения
Magic Ball Чемпион, Gyroball Чемпион
 
Аватар для Uix
 
Uix вне форума
Регистрация: 13.01.2013
Адрес: Калининград
Сообщений: 494
Репутация: 1
Отправить сообщение для Uix с помощью Skype™
Раса персонажа: CastanicКласс персонажа: Archer
По умолчанию

Цитата:
Сообщение от omfgzor Посмотреть сообщение
Итак, судя по всему, эта система как минимум собирает следующую информацию о машине:
1. Движок браузера
2. Языковые настройки
3. Версия ява-скрипта
4. Часовой пояс
5. Текущее время/дата
6. Название браузера
7. Версия браузера
8. Версия и название ОС
9. Язык ОС
10. Разрешение экрана...


То есть по Вашему, если мы сменим часовой пояс в винде, сооответственно время поменяется, сменим разрешение экрана, сменим язык ОСи.. (это уже должно поменять наш файлик) но почему то после этих телодвижений UAF не проходил, по линку на евро форум прошел, там есть слова что

Цитата:
Сообщение от omfgzor Посмотреть сообщение
mpsnare.iesnare.com
собирает наш кэш впридачу.. так и его почистим. Перезагрузим комп под конец. Но все равно uaf остается... я все это делал... хоть и не знал причины.

Но вопрос, из за чего лаунчер нас начинает пускать спустя 12-24 часа?

И ... если закрыть доступ в хост файле к mpsnare.iesnare.com , что произойдет? =)

(это все из-за любопытства)
  Ответить с цитированием

Старый 09.02.2013, 13:39   #6
1408
Пользователь
Очки: 1,052, Уровень: 17
Очки: 1,052, Уровень: 17 Очки: 1,052, Уровень: 17 Очки: 1,052, Уровень: 17
Активность: 99.0%
Активность: 99.0% Активность: 99.0% Активность: 99.0%
Последние Достижения
 
Аватар для 1408
 
1408 вне форума
Регистрация: 05.04.2012
Сообщений: 77
Репутация: 1
Раса персонажа: PoporiКласс персонажа: Lancer
По умолчанию

ну либо это реально антифрод, мол поменялся ип, ломают тебя, мы тебя спасем! бан
либо они тестят как отсечь неверных, и потом 24 перерастет в анлим)

имхо конечно

и кстати так это выглядит в оригинале

[INTLOC] => [доступно только зарегистрированным пользователям, регистрация]
[JENBL] => 1
[JSSRC] => seaprwdp06.iovation.us
[UAGT] => Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0
[JSTOKEN] => [removed for my privacy]
[HACCLNG] => en-US,en;q=0.5
[JSVER] => 311
[TZON] => -600
[JSTIME] => 2012/12/18 1:30:39
[SVRTIME] => 2012/12/18 01:31:14
[JBRNM] => Firefox
[JBRVR] => 17.0
[JBROS] => Windows NT 6.1; WOW64
[JBRCM] => rv:17.0
[JLANG] => en-US
[IGGY] => [removed for my privacy]
[JRES] => 1080x1920

Последний раз редактировалось 1408; 09.02.2013 в 13:42..
  Ответить с цитированием

Старый 09.02.2013, 13:44   #7
Defiens
Новичок
Очки: 384, Уровень: 7
Очки: 384, Уровень: 7 Очки: 384, Уровень: 7 Очки: 384, Уровень: 7
Активность: 4.0%
Активность: 4.0% Активность: 4.0% Активность: 4.0%
Последние Достижения
 
Defiens вне форума
Регистрация: 05.02.2013
Сообщений: 13
Репутация: 1
Раса персонажа: CastanicКласс персонажа: Mystic
По умолчанию

VPN от [доступно только зарегистрированным пользователям, регистрация] поможет
Покупаешь на год (это обязательно) потому что личный IP не выдадут, и забываешь о проблемах 1,5 месяца пользуюсь доволен
  Ответить с цитированием

Старый 09.02.2013, 14:02   #8
1408
Пользователь
Очки: 1,052, Уровень: 17
Очки: 1,052, Уровень: 17 Очки: 1,052, Уровень: 17 Очки: 1,052, Уровень: 17
Активность: 99.0%
Активность: 99.0% Активность: 99.0% Активность: 99.0%
Последние Достижения
 
Аватар для 1408
 
1408 вне форума
Регистрация: 05.04.2012
Сообщений: 77
Репутация: 1
Раса персонажа: PoporiКласс персонажа: Lancer
По умолчанию

Цитата:
Сообщение от Defiens Посмотреть сообщение
VPN от [доступно только зарегистрированным пользователям, регистрация] поможет
Покупаешь на год (это обязательно) потому что личный IP не выдадут, и забываешь о проблемах 1,5 месяца пользуюсь доволен
пока да, но никто ж не мешает им видеть, что у тебя язык системы русский и часовой пояс тоже, впн-ом не спрячешь

Добавлено через 15 минут
Цитата:
Сообщение от Uix Посмотреть сообщение
И ... если закрыть доступ в хост файле к mpsnare.iesnare.com , что произойдет? =)

(это все из-за любопытства)
валяй

The best way to eliminate iesnare as a problem, is to tell it where to go. Literally, LOL

add these lines to your hosts file
127.0.0.1 iesnare.com
127.0.0.1 [доступно только зарегистрированным пользователям, регистрация]
127.0.0.1 mpsnare.iesnare.com
127.0.0.1 ci-mpsnare.iesnare.com
  Ответить с цитированием

Старый 09.02.2013, 14:45   #9
Uix
Ветеран
Очки: 3,833, Уровень: 39
Очки: 3,833, Уровень: 39 Очки: 3,833, Уровень: 39 Очки: 3,833, Уровень: 39
Активность: 0%
Активность: 0% Активность: 0% Активность: 0%
Последние Достижения
Magic Ball Чемпион, Gyroball Чемпион
 
Аватар для Uix
 
Uix вне форума
Регистрация: 13.01.2013
Адрес: Калининград
Сообщений: 494
Репутация: 1
Отправить сообщение для Uix с помощью Skype™
Раса персонажа: CastanicКласс персонажа: Archer
По умолчанию

Цитата:
Сообщение от 1408 Посмотреть сообщение
[INTLOC] => [доступно только зарегистрированным пользователям, регистрация]
[JENBL] => 1
[JSSRC] => seaprwdp06.iovation.us
[UAGT] => Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0
[JSTOKEN] => [removed for my privacy]
[HACCLNG] => en-US,en;q=0.5
[JSVER] => 311
[TZON] => -600
[JSTIME] => 2012/12/18 1:30:39
[SVRTIME] => 2012/12/18 01:31:14
[JBRNM] => Firefox
[JBRVR] => 17.0
[JBROS] => Windows NT 6.1; WOW64
[JBRCM] => rv:17.0
[JLANG] => en-US
[IGGY] => [removed for my privacy]
[JRES] => 1080x1920

Что будет если поменять браузер по умолчанию? обновить яву?


насчет

Цитата:
Сообщение от 1408 Посмотреть сообщение
add these lines to your hosts file
попробуй когда будет UAF =) а так смысла то мне нет закрывать....
  Ответить с цитированием

Старый 09.02.2013, 21:12   #10
Lunatiq
Новичок
Очки: 3, Уровень: 1
Очки: 3, Уровень: 1 Очки: 3, Уровень: 1 Очки: 3, Уровень: 1
Активность: 1.6%
Активность: 1.6% Активность: 1.6% Активность: 1.6%
 
Lunatiq вне форума
Регистрация: 09.02.2013
Сообщений: 1
Репутация: 1
Раса персонажа: CastanicКласс персонажа: Priest
По умолчанию

В итоге - ктото разобрался? Что дает заворачивание хостов на локал?

Мои тесты:
Отваливается ЛК сайте с ошибкой что не может сгенерировать подпись устройства :/

[доступно только зарегистрированным пользователям, регистрация]

довольно полезная ссыль

Последний раз редактировалось Lunatiq; 09.02.2013 в 21:41..
  Ответить с цитированием
Ответ

Социальные закладки

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 22:23. Часовой пояс GMT +4.