Пока мир следит за геополитическими разборками, тут более горячая тему — как RDP палит бот-фермы.

Я, Григорий Мельников, создатель антибот сервиса KillBot, рассказываю, как Windows сервер с РДП палит твоих ПФ-ботов (на BAS, Zenoposter и любом другом софте под Win). Ниже инструкция как от таких визитов избавится и сохранять бюджет в Директе.

Ботам специально "нагуливают" историю посещений, имитируя поведение реальных пользователей — боты заходят через поиск, просматривают страницы и возвращаются через время, чтобы создать видимость органического трафика с целью обмануть антифрод-системы. Когда же боты набирают достаточно "чистых" визитов, их начинают использовать для накрутки, мошенничества или спама. Таких ботов, которые нагуливают историю, называют "ПФ-боты" - т.е. боты, которые имитируют поведенческие факторы реальных людей.

Все ПФ-боты на BAS крутятся на выделенных серверах. (Кто пишет ботов и с использованием какого софта читайте тут). Сервер администрируют прямо там же — и делают это, конечно, через RDP (удалённый рабочий стол).

А теперь прикол: удалённый рабочий стол Windows RDP открывает порты 47001 и 5985 на localhost. Браузером можно проверить, открыты они или нет — и всё, ботики спалились.

Если у меня 100 кликов, и у 90 открыт порт 47001 — всё, их можно смело отправлять под фильтр.
Реальное использование RDP у домашних ПК — меньше 3%, а для мобильных устройств это просто невозможно. В чистом трафике эти порты почти не встречаются.

Внимание! 47001 - это порт на LOCALHOST - не путайте с внешним RDP портом 3389.

Из минусов подхода - если порт 47001 не на прослушке (для доминирующего большинства реального трафика), то в консоли браузера появится ошибка как на скрине:

Т.е. такой чекер можно включать если не обращать внимание на, то что эта ошибка будет в консоли браузера или если нет альтернативных методов фильтрации ботов данного типа.

Вывод для крутильщиков: RDP — палево.

Как посмотреть на ботовском сервере что локальный порт открыт?

В моей прошлой статье https://habr.com/ru/articles/929034/, я уже давал ссылку на тулзу проверки своих браузерных данных (UserID и др.).
Вот эта ссылка: https://killbot.ru/waf/myUserID - в ней же можно посмотреть есть открытый порт в списке или нет:

С локального компьютера - порт 47001 не прослушивается, а если открыть ссылку на удаленном сервере через РДП - то - да, это красный флаг по которому можно фильтровать.

Что делать если ты крутишь ПФ?

• Сменить порт: НЕ вариант, 47001 — это порт локального WinRM листенера. Его назначение жёстко прописано в службе WinRM для локального доступа. Изменить его штатными средствами Windows нельзя — параметра в реестре и конфиге нет.

• Использовать другой клиент рабочего стола - это хороший вариант.

• Запретить ботоферме пинговать локальные порты - тоже вариант, но нужно подключение разработчиков.

• Забить, всеравно порты не палят - хороший вариант, но войны так и поигрывают.

Как фильтровать такие визиты на стороне сайта?

Я опубликовал такой пост ранее (10 августа) в своем телеграм канале: https://t.me/KillBotRus/64 (это вторая часть поста).
А в одном из следующих постов я расскажу о дырах в фреймворках типа BAS и то, как палить антидетект, поэтому подписывайтесь на мой телеграм канал: https://t.me/KillBotRus , чтобы не пропустить этот интересный материал.