Author

Topic: Ayuda por favor (creo que reventaron mi proyecto) (Read 332 times)

legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
<…>
Ok, queda claro con tu explicación.

Espero que entre lo comentado por @seoincorporation, y el autor del bot, encuentres las contramedidas adecuadas. Es un faucet de bitcoin interesante para los que les gusta el tema, y sería una lástima que no pudiese mantenerse a flote, siendo un win-win tanto para ti como los partícipes.

hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
Hola.

No me queda del todo claro qué son los errores mostados al final. Probablemente sean fruto de no haber introducido un bitcoin wallet durante el juego (observo que está en blanco).

Exacto, es eso. Cuando juegas sin introducir ninguna dirección Bitcoin, a la hora de cobrar (si has ganado premio), te sale ese error.

Entiendo que lograste que alguien te grabase el video con el bot funcionando.

Se ha puesto en contacto conmigo el autor del bot.

Me ha dado la impresión de ser una persona francamente honesta.

Hemos negociado, le he pedido el vídeo y soluciones según su criterio a cambio de 0.002 BTC, y con la condición de que primero me tiene que enviar él todo y después le pago yo.

Me ha enviado el vídeo y las siguientes posibles soluciones:

Quote
1.- Encode chess piece and indicators with Base64, it would be more difficult to a bot to get chess board.
2.- You can put your chess board in a div with attribute "attachShadow("closed"), it will be impossible to scrape the chess board.
3.- Add a reCaptcha, hCaptcha or SolveMedia before claiming the Bitcoin satoshis.
4.- Make the chess pieces move by sliding them, not by clicking two times, it's impossible to slide with JavaScript.
5.- To prevent Python bots that use a headless browser, add a Cloudfare security.
6.- Do not give chance to person to choose between black and white pieces.

Ahora me las estoy estudiando.

Y yo también le he pagado según lo acordado:

https://www.blockchain.com/btc/tx/69eef3dfc0c50ca786577ddeefe9dbd17e36f4e647213d5882bfc83921baf7c2

Un saludo.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
<…>
Creo que le falta un voiceover, o textover para comprender bien lo que estamos viendo, si es que tu cuenta en Youtube tiene visibilidad. De hecho, visto objetivamente, parece que estás enseñando a terceros a usar el bot para vencer a un (tu) bitcoin faucet … obviamente no es la intención … Tampoco es que haga falta si es de "uso interno/limitado", pero como lo he visto colgado de tu cuenta en Youtube ...

No me queda del todo claro qué son los errores mostados al final. Probablemente sean fruto de no haber introducido un bitcoin wallet durante el juego (observo que está en blanco).

Entiendo que lograste que alguien te grabase el video con el bot funcionando.
hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
legendary
Activity: 3346
Merit: 3125

Gracias colega.

Conrespecto al codigo ofuscado podemos ver claramente que es visible desde las herramientas de desarrollador:



Espero que con la información que te he proporcionado puedas resolver el problema. Suerte y nuevamente insisto en que es un excelente servicio este que estás ofreciendo. No hay que dejarlo caer.
hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
legendary
Activity: 3346
Merit: 3125
Hola.

Muchísimas gracias seoincorporation.

Con respecto al bloqueo de anuncios, te comento que ya tengo instalado BlockAdblock, lo tengo desde los inicios de la página, y ya lo tengo actualizado con la última versión estable. Pero este script sólo funciona con algunos bloqueadores de anuncios, no con todos. Además el mundillo del bloqueo de publicidad está en continua evolución, cada vez que sale una versión de un bloqueador, sale la siguiente del bloqueador del bloqueador, y así sucesivamente hasta el infinito, es como una guerra.
Es lo que imaginé, es una batalla entre bloqueadores aver quien bloquea a quien, es como la batalla entre los antivirus y lose zero days.

Con respecto a incluir en la lista negra a los usuarios abusadores, también ya está hecho, concretamente éste del bot es el “12oWM8x1mp4B99BizJnzb4bCU7uUQ3jdTL” y no puede obtener ningún ingreso de satoshis. No guardo la IP de los usuarios (aunque sí puedo saberla mirando en los archivos log o también consultando en la propia página de FaucetPay) por lo que un abusador siempre podrá crearse otra cuenta de usuario (con una dirección Bitcoin nueva). Esto quizás también deba mejorarlo.

Otra cosa, no entiendo cómo han dado con la idea de utilizar los indicadores (superior, inferior, blancas, negras, neutro, etc.) si precisamente eso está dentro de unos archivos javascript OFUSCADOS. De acuerdo que esos términos sí que aparecen en los archivos ofuscados, pero son completamente ininteligibles ¿no? Veo que este “tío” se ha tomado muuchas molestias en programar el bot.
Un saludo.

Este tema de la lista negra es la mejor opcion, y es tan simple como ver que usuarios están retirando grandes cantidades para ver quienes están haciendo trampa.

Lo de incluir un popup cada 10 minutos o 10 movimientos, eso lo pensé también cuando programé la página (o algo parecido) pero lo descarté porque perdería mucha calidad la experiencia de juego de las partidas de ajedrez. Nunca pensé que se llegaría a tal extremo de que alguien programara un bot, pero ya ves...
El tema de los bots es algo inebitable, siempre que hay dinero de por medio alguien intentará automatizarlo.

Bueno seoincorporation, espero ansioso ver el vídeo del bot funcionando; por cierto, cuando lo subas a YouTube, envíame también tu dirección Bitcoin donde quieres que te ingrese los 0,005 BTC.

No descarto la idea de dejar la web como está (con las restricciones), la gente sigue jugando incluso con la confiscación de premios, sólo que ahora ganan mucho menos. Y veo que esto tiene el mismo problema que el bloqueo de publicidad, cuando solucionas un abuso, aparecen otros.

Un saludo.

Realmente intenté intenté ejecutar el bots en los en estos días, instalé windows en una máquina virtual y todas sus dependencias. Pero al final cuando habría la página no vi nada ejecutándose de forma instantánea. Entendí claro que es lo que hace el código y es lo que te comenté en el post anterior. Pero desafortunadamente no lo pude ver en acción. Personalmente soy un usuario de linux y configurar un servidor en windows es un chiste de mal gusto...


Ya invertí mas de 2 días intentando configurar este servicio y no he tenido suerte instalando el bot, me sale mas barato programar mi propio bot Grin, es por esto que no te enviaré el video colega, pero sin duda es un bot que hace paso a paso lo que te indiqué en el post anterior, el código es claro y las exenciones son las que revelan lo que hace. Así que seguir intentando de instalar un bot que ya sabemos como se comporta es una perdida de tiempo. El bot es real y puede vencer a tu sitio una y otra vez, ya sabemos cuales son su vectores de ataque y como bloquearlo. Así que espero puedas frenarlo en seco. Por mi parte te puedo decir que es de esos programas que solo sirven para la persona que los desarrolla, ya que mezclar php, python, sql, wamp, google apps, y ajedrés desde linea de comandos es un combo tutifruti y coordinarlos todos requiere mucha paciencia y salibita.

Perdon por no grabar el video de esto funcionando pero si consideran que mi aporte ayudó de algo, mi dirección estpa en mi perfil  Wink

Espero puedas solucionar el problema y te deseo mucho éxito.
hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
Hola.

Muchísimas gracias seoincorporation.

Con respecto al bloqueo de anuncios, te comento que ya tengo instalado BlockAdblock, lo tengo desde los inicios de la página, y ya lo tengo actualizado con la última versión estable. Pero este script sólo funciona con algunos bloqueadores de anuncios, no con todos. Además el mundillo del bloqueo de publicidad está en continua evolución, cada vez que sale una versión de un bloqueador, sale la siguiente del bloqueador del bloqueador, y así sucesivamente hasta el infinito, es como una guerra.

Con respecto a incluir en la lista negra a los usuarios abusadores, también ya está hecho, concretamente éste del bot es el “12oWM8x1mp4B99BizJnzb4bCU7uUQ3jdTL” y no puede obtener ningún ingreso de satoshis. No guardo la IP de los usuarios (aunque sí puedo saberla mirando en los archivos log o también consultando en la propia página de FaucetPay) por lo que un abusador siempre podrá crearse otra cuenta de usuario (con una dirección Bitcoin nueva). Esto quizás también deba mejorarlo.

Otra cosa, no entiendo cómo han dado con la idea de utilizar los indicadores (superior, inferior, blancas, negras, neutro, etc.) si precisamente eso está dentro de unos archivos javascript OFUSCADOS. De acuerdo que esos términos sí que aparecen en los archivos ofuscados, pero son completamente ininteligibles ¿no? Veo que este “tío” se ha tomado muuuchas molestias en programar el bot.

Lo de incluir un popup cada 10 minutos o 10 movimientos, eso lo pensé también cuando programé la página (o algo parecido) pero lo descarté porque perdería mucha calidad la experiencia de juego de las partidas de ajedrez. Nunca pensé que se llegaría a tal extremo de que alguien programara un bot, pero ya ves...

Bueno seoincorporation, espero ansioso ver el vídeo del bot funcionando; por cierto, cuando lo subas a YouTube, envíame también tu dirección Bitcoin donde quieres que te ingrese los 0,005 BTC.

No descarto la idea de dejar la web como está (con las restricciones), la gente sigue jugando incluso con la confiscación de premios, sólo que ahora ganan mucho menos. Y veo que esto tiene el mismo problema que el bloqueo de publicidad, cuando solucionas un abuso, aparecen otros.

Un saludo.
legendary
Activity: 3346
Merit: 3125
Buen día colega, te dejo mi análisis en pastebin ya que el foro no me dejó publicar tanto código y tanto enlace  Grin

https://pastebin.pl/view/bd6167ee

----------- Mensaje sin enlaces ni códigos -------------------------

He revisado a fondo la información a fondo con la intención de ayudarte colega, veo que tienes 3 problemas diferentes con tu página.
 
1.-La gente pone a jugar a la máquina contra la máquina.
2.-La gente usa Adblock.
3.-Los bots autimatizados.
 
Así que me gustaría que analicemos cada punto y proponer soluciones ya que es un buen servicio el que ofreces y el echo de congelar los retiros puede ahuyentar a la gente.
 
Entonces empecemos con el primer punto:
 
Los usuarios seguirán usando programas o páginas de ajedrez para tener mas probabilidades de ganar y no creo que esto sea tan malo, al final están visualizando una partida de ajedrez de principio a fin y algo se les pegará. Lo que si es preocupante es el echo de que bloquén la publicidad, y este es un tema que es responsabilidad del servidor y no del el usuario. Deberías implementar en tu servicio un script como el siguiente para evitar que la gente pueda usar adblock.
 
Esto será un buen filtro pero no es 100% seguro y esto se debe a que nosotros podemos inyectar código en la consola y eliminar partes de el código html en la página, alguien con conocimientos avanzados puede hacerlo parte de un BOT, sin embargo servirá contra todos aquellos que decidan seguir los tutoriales de youtube que has compartido.
 
Ahora, el tema del Bot.
 
Te explicaré paso a paso como funciona y sus extensiones.
 
1.-Montamos un servidor en nuestra computadora (instalación de Wamp, php, python, winrar), esto es para que usemos el programa Stockfish el cual es Ajedrez en linea de comandos en nuestra computadora y a través del servidor mandar la respuesta al sitio.
 
 
2.-Ya que tenemos el servidor montado (con la capacidad de enviar información al sitio) ahora necesitamos leer lo que está pasando en el sitio y mover las piezas, para esto se está usando la exención de tampermonkey y el script utilizado para este bot es el siguiente:
 
 
Como podemos observar en la siguiente linea, el programa utiliza el indicador inferior para saber si es su turno:
 
Y para mover la pieza lo hace directo inyectando el código en la seccion tbody
 
En el código podemos ver que la maña de este bot es que cuando lo usas este usa el sistema de referidos:

 
Y esa es la forma real en que el bot piensa generar sus ganancias, sin embargo ya sabes cual es la dirección que deberías de mandar a la lista negra por abuso.
 
Ahora viene la parte de las soluciones.
 
1.-Evitar que los usuarios bloquén los anuncios con algún script como lo comenté al principio.
2.-Eliminar los indicadores de turnos.

 
3.-Crear un popup con temporizador cada 10 minutos para evitar bots haciendo clicks automatizados:
 
https://codepen.io/namimosha/pen/wGJbPR
 
Incluso podrías incluir anuncios en el popup.
 
Y con esto quedaría resulto el problema, aun que no dudes que alguien llegará a intentar automatizarlo nuevamente, esto es inevitable, todas las faucets son objetivos de este tipo de ataques.

---------------
Sigo en proceso de la instalación del código, eso de configurar máquinas virtuales toma algo de tiempo, pero espero en las siguientes horas traer noticias de como me fue con eso.

hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
Intentaré instalar el código en una máquina virtual y grabare un video del proceso, cuando quede listo te lo mando para que veas como funciona.

Muchas gracias seoincorporation.

Si lo consigues, los 0,005 BTC son tuyos. Wink

Un saludo.

EDITO: o también puedes colgarlo en YouTube (el vídeo) y así lo vemos todos. Bueno... Como prefieras.
legendary
Activity: 3346
Merit: 3125

Gracias DdmrDdmr.

No, mantengo la oferta de los 0,005 BTC; me gustaría ver funcionar ese bot.

Un saludo.


Estuve revisando el código colega, y al parecer utiliza stockfish para evaluar la mejor movida posible, así es como siempre ganan las partidas, eso lo podemos ver en esta parte del código:

Code:
# Get best move.
def getBestMove(board):
    stockfish = Stockfish("stockfish/stockfish.exe", depth = 6, parameters = parametersStockfish)
    stockfish.set_fen_position(board + " w - -")
    return stockfish.get_best_move()

Una solución que podrías aplicar es poner un captcha cada 10 movimientos, esto detendría a los bots. Otra opción es limitar las ganancias por usuario a maximo 200 satoshis cada 24h. Y por último lo que he visto que funciona muy bien en páginas que ofrecen faucet, es blockear a los usuarios que tengan proxy.

Me gustó mucho tu proyecto, pero es bien sabido que los juego de abilidad y no de suerte pueden ser amañados.

Intentaré instalar el código en una máquina virtual y grabare un video del proceso, cuando quede listo te lo mando para que veas como funciona.
hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
Nota: Si los cambios en las reglas hacen innecesario la oferta que publicaste en posts anteriores sobre la recompensa de los 0,005 BTCs, quizás cabría mencionarlo por si alguien se hubiese puesto con ello.

Gracias DdmrDdmr.

No, mantengo la oferta de los 0,005 BTC; me gustaría ver funcionar ese bot.

Un saludo.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
Es una lástima que los tramposos logren doblegar los proyectos, o diezmarlo como es el caso. A veces logran como efecto lateral fortalecer el proyecto, al amoldar las defensas y/o reglas, pero el caso contrario también se da con frecuencia.

Nota: Si los cambios en las reglas hacen innecesario la oferta que publicaste en posts anteriores sobre la recompensa de los 0,005 BTCs, quizás cabría mencionarlo por si alguien se hubiese puesto con ello.
hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
...en fin, sea lo que resulte de tu investigaciòn y posterior actualizaciòn, hay seguidores de tu pagina, nos gustaría saber.

Hola.

Bueno... Gracias a todos por vuestras respuestas.

Ya he tomado una decisión.

Si queréis ver el desenlace final, leed aquí: https://www.chessfaucet.com/contrabuso/contrabuso.htm

Un saludo.

EDITO: Leed también el comentario publicado al final de la página.
legendary
Activity: 1918
Merit: 3047
LE ☮︎ Halving es la purga
Hola.

...//...:
Hola.

Creo que parte de lo que se puede hacer o ir adelantando ya lo han comentado unos post antes.

Como sea es  importante destacar con tu apreciado proyecto que siempre hay gente viendo por ahí como "echar vaina" ...

Por otro lado de seguro hay usuarios en el norte y tal vez aquí que se animen pero el tema seguridad es del tipo "es una relación complicada", como bien mencionas tu y los otros regulares en este mismo hilo..

Si estuviera en tu caso y quiero seguir con este proyecto incluso con esa oferta que haces igual lo intentaría hacer por mi cuenta, incluso los parámetros de seguridad básicos ya también los han mencionado.

He revisado y se mantiene activa, tenia en realidad años sin entrar, incluso siempre me ha gustado que incluso sin incluir ninguna dirección puedes jugar. También he visto que se han agregado ads, en fin, sea lo que resulte de tu investigaciòn y posterior actualizaciòn, hay seguidores de tu pagina, nos gustaría saber.
_________
Disculpa mi poco aporte en la esencia del tema en si mismo.
hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
Hola.

Parece que va a ser complicado instalar este bot, con el añadido del riesgo en seguridad.

Yo, ni sé hacerlo, ni me atrevo; no tengo los conocimientos necesarios para hacerlo de forma segura.

Me pregunto si alguien puede hacerlo; yo podría incentivarle con 0,005 BTC.

Tendría que instalarlo y probarlo grabando un vídeo dónde se viera claramente cómo funciona. Podría colgarlo en YouTube para que todos pudiéramos verlo.

También sería interesante que nos diera su opinión: dificultad de instalación, requisitos, funcionamiento, posibles formas de evitarlo, etc., cualquier cosa que se le ocurra.

No sé…, creo que podría ser un reto interesante averiguar cómo puede evitarse este bot, y siempre se aprende algo ¿no?

Si 0,005 BTC no son suficientes, se podría negociar y subir un poco el incentivo.

En fin… ¿Alguien se atreve con ello?

Un saludo.
sr. member
Activity: 494
Merit: 476
Yo creo que no hay virus ni nada; simplemente el mundo del ajedrez tiene esta lacra de los bots y hay que vivir con ella.

Ninguna de las opciones es óptima: echar abajo el proyecto, poner un captcha, reducir el montante de los premios…
legendary
Activity: 1623
Merit: 1608
Como bien indica, DdmrDdmr, está muy bien explicado para instalar en Windows ahí mismo:

https :// github.com / m4ksyme / chess-faucet

Yo tampoco lo voy a instalar porque requeriría antes revisar el código para estar más o menos seguro de que no te esta haciendo la jugarreta en tu propia máquina. Al fin y al cabo, una persona que se interesa por ese tipo de programas quizás también tiene algún wallet en su ordenador, y es víctima propicia para encasquetarle un buen troyano.
legendary
Activity: 2338
Merit: 10802
There are lies, damned lies and statistics. MTwain
<…> se trata de que alguien ha programado un bot que se pone a jugar contra mi página de forma automática y siempre gana. ¿No es así? <…>
Tiene toda la pinta, aunque lo relativo a ganar siempre no creo que tenga porqué ser así. Si lo he comprendido bien, el ingenio juega, luego puede ganar o no según el automatismo programado en uno y otro código.

Para instalarlo están los pasos, aunque requiere varios componentes según indica (Wamp Server, Python, php, tampermonkey). Yo no lo voy a instalar, pero si lo intentas paso a paso, asegúrate de no hacerlo en un ordenador productivo, y mejor aún si además es desde una máquina virtual que puedas crear y luego destruir.

He pasado el .zip del GitHub por VirusTotal, y no ha detectado nada, lo cual no quiere decir que no pueda haber algo raro. Hay código fuente, y también ejecutables. Nunca debería ejecutarse los ejecutables. En todo caso, ver el código fuente, y compilarlo.

No sé si alguien dedicará tiempo a instalarlo y comprenderlo, pero si ya has visto en tus datos internos un drenaje del faucet anómalo, puede que no precises más pruebas, y en todo caso, ver cómo puedes llegar a detectarlo y evitar que juegue. Esto se me escapa. A ver si alguien domina el tema.

Con otro contexto, ésto me recuerda a Who's the Spanish jerk draining the Faucet? . Gavin Andresen tuvo que implantar contramedidas en su faucet …
hero member
Activity: 782
Merit: 523
--- I ❤ Ƀ ---
Hola.

En el año 2016 creé el proyecto https://www.chessfaucet.com , una web para jugar al ajedrez contra la máquina, y si ganas o haces tablas, te da un premio en satoshis.

Hasta ahora me ha ido muy bien con este proyecto, pero hoy he descubierto que hace dos días han publicado en GitHub esto: https://github.com/m4ksyme/chess-faucet .

Yo no he sido capaz de probarlo (hasta ahora no he sabido instalarlo), pero si no estoy equivocado, se trata de que alguien ha programado un bot que se pone a jugar contra mi página de forma automática y siempre gana. ¿No es así?

Por favor, a ver si alguien con más conocimientos que yo me explica cómo se puede instalar este bot para probarlo y a ver si se nos ocurre algo para evitar el bot.

De momento, los premios en mi web están confiscados.

Hay otro vídeo en YouTube que también explica una trampa para ganar siempre: https://www.youtube.com/watch?v=TjgcNXFBc68 , pero contra ése creo que no se puede hacer nada, sólo pedir que lo retiren.

Pero el de GitHub me gustaría probarlo (y evitarlo si es posible). ¿Me ayudáis por favor?

Un saludo.
Jump to: