V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wy198656
V2EX  ›  信息安全

大家好!我又回来啦~网站被人搞了求解决方案!doge

  •  
  •   wy198656 · 2015-06-12 10:01:12 +08:00 · 8032 次点击
    这是一个创建于 3484 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我们公司的电商网站被人搞了,坏人用虚拟手机号生成软件生成一大堆号码进行恶意注册窃取我们的积分因为我们的积分能当钱花。

    2天了找不到解决方案,大伙有遇到过的吗?该怎么解决了?

    前段时间,我还在免费赠送节点送过可乐!我们是小公司应该没有得罪人啊!
    64 条回复    2020-03-04 09:39:09 +08:00
    mrjoel
        1
    mrjoel  
       2015-06-12 10:11:02 +08:00
    设置一定的账号级别才能使用 积分 比如必须有过一次购买记录之类的
    goofansu
        2
    goofansu  
       2015-06-12 10:11:45 +08:00
    现在能刷都刷的,京东现在那个红包翻倍活动也有人刷,这种是一个行业,刷了券卖给别人的
    goofansu
        3
    goofansu  
       2015-06-12 10:12:02 +08:00
    跟你小不小没关系,有利益就有人刷
    lucky2touch
        4
    lucky2touch  
       2015-06-12 10:13:53 +08:00   ❤️ 2
    设计一下积分机制吧,就像论坛账户设置,新注册xx时间才能用,积分必须买了东西才能搭配使用,谁设计的积分机制该吊打啊哈哈。
    jookr
        5
    jookr  
       2015-06-12 10:28:45 +08:00
    教一下我怎么在标题打你那个狗头图标
    elyamen
        6
    elyamen  
       2015-06-12 10:29:34 +08:00
    楼主的狗头是怎么打上去的?
    wy198656
        7
    wy198656  
    OP
       2015-06-12 10:34:53 +08:00
    @jookr
    @elyamen
    :doge:
    XadillaX
        8
    XadillaX  
       2015-06-12 10:35:41 +08:00
    坏人...
    morethansean
        9
    morethansean  
       2015-06-12 10:37:05 +08:00
    :doge:
    wy198656
        10
    wy198656  
    OP
       2015-06-12 10:38:31 +08:00
    @lucky2touch 感谢你的建议,我们技术正在按照这个方法进行修复!
    void1900
        11
    void1900  
       2015-06-12 10:44:57 +08:00
    虚拟手机号?

    能收到验证短信?
    wy198656
        12
    wy198656  
    OP
       2015-06-12 10:57:06 +08:00
    @void1900 有验证码平台无限生成!
    xz
        13
    xz  
       2015-06-12 11:07:58 +08:00 via Android
    可以发网站吗?我也想去刷点:doge:
    publicID001
        14
    publicID001  
       2015-06-12 11:10:25 +08:00 via Android
    记得有的公司有虚拟号识别的,拒掉虚拟号,不知道实现起来方不方便。
    xinyewdz
        15
    xinyewdz  
       2015-06-12 11:17:20 +08:00
    @xz 哈哈,你的doge没显示。
    catface
        16
    catface  
       2015-06-12 11:24:58 +08:00
    @wy198656 限制验证码验证次数不就好了?
    arefly
        17
    arefly  
       2015-06-12 11:26:05 +08:00
    :doge: :doge doge:
    arefly
        18
    arefly  
       2015-06-12 11:26:30 +08:00
    @arefly -_-|| 为什么?
    wolfan
        19
    wolfan  
       2015-06-12 11:31:56 +08:00
    作电商就好比作游,要敢于花钱。
    话说贵站地址为啥不分享下,俺也去刷刷~ 嘻嘻

    其实在作积分的时候应该要想到会有这样的情景发生(在天朝这是必然),一早就应该作好相关的文案,虽然现在也可以改(反正也没人知道)。

    最简单的方法就是要求有过一次消费才可以使用咯,这样既能给平台带来一个销售,又能给刷积分的人带来更高的成本,一举两得啊。
    kliy
        20
    kliy  
       2015-06-12 11:36:28 +08:00 via Android
    绑定银行卡积分才可使用,不就行了吗
    anoymoux
        21
    anoymoux  
       2015-06-12 11:39:42 +08:00
    坏人~ :doge:
    sandideas
        22
    sandideas  
       2015-06-12 11:42:27 +08:00 via iPhone
    使用积分需要手机验证码。。增加一点难度吧
    kisshere
        23
    kisshere  
       2015-06-12 11:42:30 +08:00 via Android
    you should use registering captcha,also short message verify code is a must
    wy198656
        24
    wy198656  
    OP
       2015-06-12 11:45:19 +08:00
    @xz
    @wolfan

    2位就别在开玩笑了,简直是丧心病狂啊已经焦头烂额了。北京地区注册新用户直接送20积分的哦!


    @arefly

    只有发帖的时候在标题里打成:doge:才会显示神烦狗头哦
    wy198656
        25
    wy198656  
    OP
       2015-06-12 11:46:19 +08:00
    @kisshere 2个都有还是被搞
    akira
        26
    akira  
       2015-06-12 11:52:21 +08:00
    虚拟手机号的格式应该是和正常手机号不一样才对的呀,有检查过没
    arefly
        27
    arefly  
       2015-06-12 11:54:18 +08:00
    @wy198656
    啊,看来我得找个机会水一贴 >.<
    解决方案? 从技术层面上能判断号码属于虚拟号么?如果是的话一刀切,ban掉虚拟号注册 楼上说的银行卡验证感觉不现实.
    smileawei
        28
    smileawei  
       2015-06-12 12:02:24 +08:00
    还是绑定银行卡或者绑定其他可以认证身份信息的东西。才可以https://www.v2ex.com/static/img/doge.gif
    800126
        29
    800126  
       2015-06-12 12:04:35 +08:00
    其实这种事情 还是从流程上杜绝!
    soolby
        30
    soolby  
       2015-06-12 12:10:25 +08:00
    是羊毛就有人薅。

    我司最近有个活动,投资100元,使用送的体验金大概能有10几块的收益(10天)

    1,注册手机号
    2,收去验证码
    3,实名认证(必须是真实的身份证)
    4,绑定银行卡(支付网关会验证银行卡的姓名和身份证号是否与实名认证匹配)

    提现和充值都只能用绑定的银行卡。

    尽管如此,竟然有人注册了上百手机号,并且身份证号都不同,银行卡都是真实的开卡。
    ledzep2
        31
    ledzep2  
       2015-06-12 12:18:39 +08:00
    @soolby 那你是怎么知道是同一个人的?
    userlogin
        32
    userlogin  
       2015-06-12 12:23:21 +08:00
    @catface 楼主说的验证码平台是指代接受手机验证码的平台,不知道恶意刷分者会是用什么平台,有哪些手机号码会被用来注册,刷分,是限制不了的。LZ的问题其实出在流程上没有考虑到这个问题,大部分网站送积分,送优惠劵其实会有消费金额限制,达到多少可以用,或者限购某些类别的商品,来杜绝类似的情况发生,当积分使用的门槛有限制,不是实际有需求的消费者得不到多少好处的时候,这种事情就少了。
    ledzep2
        33
    ledzep2  
       2015-06-12 12:48:26 +08:00
    积分不能送人, 积分必须要加钱才可以买东西, 买上一定金额才免邮. 总之不能让他光用积分就把东西买走了. 然后通过支付的帐号你就能把它封掉.
    soolby
        34
    soolby  
       2015-06-12 12:56:28 +08:00
    @ledzep2 同一个IP,时间前后顺序,开户银行都是同一个支行,同一个地区
    yylzcom
        35
    yylzcom  
       2015-06-12 13:02:23 +08:00 via Android
    @soolby 公司内网一个IP,然后这个公司的人组团来褥羊毛
    leassy
        36
    leassy  
       2015-06-12 13:16:07 +08:00
    求楼主电商网站地址
    robin001
        37
    robin001  
       2015-06-12 13:19:09 +08:00
    各种限制都加上,当然用户体验可能就相应拉低了··
    wwek
        38
    wwek  
       2015-06-12 13:22:51 +08:00
    有手机号码平台的.

    我有朋友在做 采集手机号码平台的号码.做成黑名单库.

    如果有需要我可以给你引荐.一起晚上黑名单库. 目前他那里
    覆盖国内的平台有几成的号码了. 几十万了.
    ledzep2
        39
    ledzep2  
       2015-06-12 13:24:26 +08:00
    @soolby 这么嚣张, 直接封掉可以吗
    yuankui
        40
    yuankui  
       2015-06-12 13:29:55 +08:00
    Grant06
        41
    Grant06  
       2015-06-12 13:39:50 +08:00
    用手机注册时不发短信验证码进行校验的吗
    soolby
        42
    soolby  
       2015-06-12 13:42:49 +08:00
    @ledzep2 他们肯定是一个组织。。或者团伙

    但是按照我们网站的注册验证标准,已经是非同一人了。所以暂时无解

    如果上升到几百以后。。。我们可能会采取措施
    fraudmetrix
        43
    fraudmetrix  
       2015-06-12 14:11:23 +08:00
    http://www.tongdun.net/E-business.html 试试这个吧,能识别代理ip,设备指纹,针对你这种情况或许只能用它了。
    nightspirit
        44
    nightspirit  
       2015-06-12 14:12:48 +08:00
    积分肯定能刷的 但30楼说的那么极端的,还是没见过 只能说涨姿势了
    ven
        45
    ven  
       2015-06-12 14:24:46 +08:00
    有羊毛就会有人撸,看看赚客吧之类的网站就知道了~

    电商网站的话估计只能人工审核K单了~没有更好的办法。
    gxm123gxm
        46
    gxm123gxm  
       2015-06-12 14:43:35 +08:00
    最近看到易迅领券的一个验证码方式,是发了一长串,让你输入前几位后几位啥的。
    虽然貌似跟题主的要求没啥关系,提供脑洞供参考
    moult
        47
    moult  
       2015-06-12 14:45:17 +08:00
    设置一下规则,订单不允许全额使用积分,必须要支付。哪怕一分钱。支付宝会返回支付账号给你。如果非新用户,就砍单吧。
    要么就只能在APP上使用,APP上可以做一些技术手段。
    现在接收验证码的平台泛滥,很多新用户怎样怎样的,都很好搞。~
    jadecoder
        48
    jadecoder  
       2015-06-12 14:48:26 +08:00
    500ml的铝罐可乐!!现在还送吗?我刚注册了,手机尾号7575.

    刷单肯定没有办法禁绝的,LZ看过这篇文章吗?
    http://chuansong.me/n/1392828
    maxsec
        49
    maxsec  
       2015-06-12 15:47:21 +08:00
    增加刷积分的成本,比如用微信支付1分钱进行实名认证。
    wy198656
        50
    wy198656  
    OP
       2015-06-12 16:23:08 +08:00
    @jadecoder 还送着了~ 你需要和我们首页在线客服联系留下姓名、电话、地址然后安排派送!
    woyao
        51
    woyao  
       2015-06-12 16:45:56 +08:00
    @wy198656 现在解决没有?
    wy198656
        52
    wy198656  
    OP
       2015-06-12 16:54:35 +08:00
    @woyao 谢谢~已经解决了,做了IP限制、 动态验证码、每日获取验证码次数限制!
    woyao
        53
    woyao  
       2015-06-12 17:18:36 +08:00
    @wy198656 你们网站打不开,是被DDOS了吗?
    OneAPM
        54
    OneAPM  
       2015-06-12 17:33:47 +08:00
    可以使用OneAPM实时查看你们网站状态,查看一些异常的网站流量。

    wclebb
        55
    wclebb  
       2015-06-13 00:02:55 +08:00
    我只想回我想说的话:为什么不设手机验证码……
    konakona
        56
    konakona  
       2015-06-13 01:37:54 +08:00
    1. 注册验证码(Google形式)
    2. 像@wclebb 说的,手机验证码,而且每次手机验证码的位置在文字中有变化。以避免被人通过字符长度来截取到验证码。
    konakona
        57
    konakona  
       2015-06-13 01:49:11 +08:00
    @OneAPM =,,= 已使用,可有优惠?
    2owe
        58
    2owe  
       2015-06-13 08:22:51 +08:00
    wellsho
        59
    wellsho  
       2015-06-13 08:25:53 +08:00
    只有购物得来的积分才能用于购物。
    其他活动的话只能得到优惠券(也就是折扣)。
    zxy
        60
    zxy  
       2015-06-13 08:52:37 +08:00
    fraudmetrix
        61
    fraudmetrix  
       2015-06-15 14:40:07 +08:00
    @wy198656 如果用代理IP,还能不能撸到?
    tianrunlin
        62
    tianrunlin  
       2015-06-15 16:27:59 +08:00
    这是你们运营设计活动方案没有考虑周全吧,搞活动前肯定要考虑可能出现的各种运营风险和事故以及对应方案的。
    stone520
        63
    stone520  
       2020-03-04 09:37:15 +08:00
    :doge:
    stone520
        64
    stone520  
       2020-03-04 09:39:09 +08:00
    :dog:
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3394 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:41 · PVG 08:41 · LAX 16:41 · JFK 19:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.