Пока мир следит за геополитическими разборками, тут более горячая тему — как RDP палит бот-фермы.
Я, Григорий Мельников, создатель антибот сервиса KillBot, рассказываю, как Windows сервер с РДП палит твоих ПФ-ботов (на BAS, Zenoposter и любом другом софте под Win). Ниже инструкция как от таких визитов избавится и сохранять бюджет в Директе.
Ботам специально «нагуливают» историю посещений, имитируя поведение реальных пользователей — боты заходят через поиск, просматривают страницы и возвращаются через время, чтобы создать видимость органического трафика с целью обмануть антифрод‑системы. Когда же боты набирают достаточно «чистых» визитов, их начинают использовать для накрутки, мошенничества или спама. Таких ботов, которые нагуливают историю, называют «ПФ‑боты» — т. е. боты, которые имитируют поведенческие факторы реальных людей.
Все ПФ-боты на BAS крутятся на выделенных серверах. (Кто пишет ботов и с использованием какого софта читайте тут). Сервер администрируют прямо там же — и делают это, конечно, через RDP (удалённый рабочий стол).
А теперь прикол: удалённый рабочий стол Windows RDP открывает порты 47001 и 5985 на localhost. Браузером можно проверить, открыты они или нет — и всё, ботики спалились.
Если у меня 100 кликов, и у 90 открыт порт 47001 — всё, их можно смело отправлять под фильтр. Реальное использование RDP у домашних ПК — меньше 3%, а для мобильных устройств это просто невозможно. В чистом трафике эти порты почти не встречаются.
Внимание! 47001 — это порт на LOCALHOST — не путайте с внешним RDP портом 3389.
Из минусов подхода — если порт 47001 не на прослушке (для доминирующего большинства реального трафика), то в консоли браузера появится ошибка как на скрине:
Т.е. такой чекер можно включать если не обращать внимание на, то что эта ошибка будет в консоли браузера или если нет альтернативных методов фильтрации ботов данного типа.
Вывод для крутильщиков: RDP — палево.
Как посмотреть на ботовском сервере что локальный порт открыт?
В моей прошлой статье, я уже давал ссылку на тулзу проверки своих браузерных данных (UserID и др.). Вот эта ссылка — в ней же можно посмотреть есть открытый порт в списке или нет:
С локального компьютера — порт 47 001 не прослушивается, а если открыть ссылку на удаленном сервере через РДП — то — да, это красный флаг по которому можно фильтровать.
Что делать если ты крутишь ПФ?
Сменить порт: НЕ вариант, 47001 — это порт локального WinRM листенера. Его назначение жёстко прописано в службе WinRM для локального доступа. Изменить его штатными средствами Windows нельзя — параметра в реестре и конфиге нет.
Использовать другой клиент рабочего стола — это хороший вариант.
Запретить ботоферме пинговать локальные порты — тоже вариант, но нужно подключение разработчиков.
Забить, всеравно порты не палят — хороший вариант, но войны так и поигрывают.
Как фильтровать такие визиты на стороне сайта?
Я опубликовал такой пост ранее (10 августа) в своем телеграм канале: ссылка (это вторая часть поста). А в одном из следующих постов я расскажу о дырах в фреймворках типа BAS и то, как палить антидетект, поэтому подписывайтесь на мой телеграм канал: ссылка, чтобы не пропустить этот интересный материал.
Комментарии (13)
heejew
13.08.2025 07:05Что-то так сумбурно написано, что я даже не вник, а о чем статья-то? Что за боты, что за ПФ, причем тут открытые порты.. Помогите..
randomsimplenumber
13.08.2025 07:05Кэп говорит, что если ты сидишь на Windows через RDP, то ты бот. А если на линухе - наоборот, настоящий человек. Человечище!
gorod0k
13.08.2025 07:05Республиканцы ещё
mvv-rus
13.08.2025 07:05А теперь прикол: удалённый рабочий стол Windows RDP открывает порты 47001 и 5985 на localhost. Браузером можно проверить, открыты они или нет — и всё, ботики спалились.
Факт открытия порта 47001 означает всего лишь, что служба WinRM запущена, а запущена она может быть по самым разным поводам. И вообще, проверка из статьи определяет, запущена ли служба WinRM на клиенте: на клиентской Windows она по умолчанию запускается по требованию, а на серверной - автоматически. Так что могучий метод детектирования ботов из статьи, похоже, всего лишь обнаруживает, осуществляется ли заход с клиентской или серверной Windows - а совсем не использование RDP.
Но, поскольку служба WinRM - останавливаемая и сервер RDP (TermService) от нее не зависит, то ее можно попробовать остановить и зайти после этого из сессии RDP на детектор по ссылке из. статьи. Я не пробовал, т.к. стенд с RDP и выходом в интернет мне собирать откровенно лень, но если у кого есть желание - можно попробовать.Сменить порт: НЕ вариант, 47001 — это порт локального WinRM листенера. Его назначение жёстко прописано в службе WinRM для локального доступа. Изменить его штатными средствами Windows нельзя — параметра в реестре и конфиге нет.
Порт сменить нельзя, да. Но можно остановить службу:
net stop WinRM. А ещё по RDP можно заходить и на клиентскую Windows (правда там всего один допустимый сеанс, и консоль при таком заходе отключается).PS А ботоводы мне абсолютно пофиг - я бабло ни на них, ни на сервисах по борбе с ними не поднимаю. Так что пишу без интереса, чисто ради истины, никого не хочу обидеть и никому не хочу помочь: ни автору статьи, ни тем, кто ботофермы содержит.
orefkov
Я частенько к рабочему компу подключаюсь через RDP и бывает там же и в инете брожу. Меня сразу за бота примут?
NICK7k
Такая же картина
HardWrMan
В соседней теме обсуждали уже. Делай это упражнение каждый день и голова болеть не будет:
PS Мне приходится отключать каждый раз, когда я захожу на eGov, потому что оно блокирует локалхост вместе с NCALAyer: