Подмена устройства или что делать с Facebook

[Alexs0809]

Здравствуйте коллеги, начну с параметров а потом опишу проблему.
OC: Windows 10
ZennoPoster: 5.11.1.0
IP: динамические, предоставленные провайдером
Всё остальное в данном вопросе незначительно.

Теперь по проблеме, сделал уже давно постер в фейсбук, отработал он отлично более года поэтому в логике проекта всё было "вылизано" и исключена любая возможность бана методом тыка (ушло много акков, но не суть). С 28.05.2017 наблюдается следующая картина при входе:

http://pastenow.ru/f6fa0b25a7e1429ddc04eae21c846e34

и если нажимать далее то получаем это (скриншоты делал по порядку):

• http://pastenow.ru/759c80e9ccd2558f7fa9df387f5b5a6d
• http://pastenow.ru/16723bc03933f759f9e824a483460598
• http://pastenow.ru/71c86c17f92db3f4d158520fec57e827

Скачивается вот этот файл: https://yadi.sk/d/4jVther03Jhg2y

Важные моменты:

1. До этого пришло письмо от сапорта фэйсбука что мол, а не спамер ли вы батенька и была заблочена возможность оставлять ссылки в постах. Я написал что не спамер естественно)) и ссылки размещать уже могу но без Zenno это боль(
2. Если заходить с обычного браузера (любого) то такой проблемы не наблюдается.
3. При попытке открыть скаченный файл ничего не происходит (пробовал с правами админа).
4. При изменении браузера в зенке через кубик "Операции над профилем" и там задаю нужный User Agent проблема не уходит.
5. Пошел на крайнюю меру и переустановил ZennoPoster естественно удалял всё через UninstallTool и все следы были зачищены.

После всех манипуляций проблема не решилась. Подскажите что ещё у кого приходит на ум и были ли похожие случаи?

 

[Mutant]

FB последнее время сильно крутит гайки. Я бы посмотрел в сторону однотипности действий

 

[Alexs0809]

В том то и дело что последовательность действий всегда разные и выбираются рандомно, паузы рандомны, прокрутки экрана и просмотр чего либо рандомны, я делал очень похоже на пользователя.
Забыл добавить что при входе в другой акк с zenno выскакивает то же самое окно хотя другой акк используется чисто для парсинга и не участвовал никогда в постинге.

 

[Чешир]

курсор эмулируется? Хотя не уверен что в этом дело.

 

[kagorec]

Alexs0809, спасибо отдельное - предостерёг от бестолковой траты времени.
Уже под выходные намерен был постер на зенно сделать, видимо так и далее через броузер надо вручную.

п.с. динамик айпи осмобенно от мобильных провайдеров - прямая дорога в бан фб аккаунтов. проверенно пару раз

 

[Alexs0809]

курсор эмулируется? Хотя не уверен что в этом дело.

Нет курсор не эмулируется, наблюдения показали что это бесполезно.

п.с. динамик айпи осмобенно от мобильных провайдеров - прямая дорога в бан фб аккаунтов. проверенно пару раз

IP - Ростелеком, работало ведь до этого больше года.

 

[Mahno]

Выцепили в зенно какой-то параметр, по нему и шлифуют. Много постил ?

 

[justhelen]

При работе через обычный браузер используется тот же провайдер? Если нет, я бы в сторону провайдера смотрела, вдруг много ботов появилось именно с IP Ростелекома или ещё какая фигня.

Если провайдер один и тот же и вообще при заходе через обычный браузер реально всё, что отличается - это браузер, то я бы зашла на whoer.net в обычном браузере и в Зенно (в обоих случаях выставила бы одинаковые юзер-агенты) и посмотрела бы, что в этих 2х случаях отличается на whoer.net.

Последняя идея. Часто нам кажется, что мы делаем совершенно одинаковые действия, но на самом деле это не так. Ты уверен, что твои действия через обычный браузер абсолютно такие же, как в Зенно? А вдруг всё-таки что-то отличается? Потому что на самом деле очень много действий, которые мы делаем автоматически и просто не обращаем внимание. Вот если прям сильно внимание обратить?

 

[justhelen]

А, ещё мысль. Что с куками? Куки сохраняются между разными заходами в аккаунт? Есть какое-то отличие по кукам при работе через обычный браузер и через Зенно?

Ещё можно попробовать постить с другими ссылками, с другого домена может. Если используешь url shortener, можно попробовать постить без него или наоборот, если не используешь Можно посмотреть в сторону open redirect уязвимостей на разных крутых сайтах и постить через них. Да, это не объясняет, почему через обычный браузер проблем нет, а через Зенно есть. Но дело в том, что может быть куча факторов, из-за которых подозрительность аккаунта растёт. Может в Зенно браузер более подозрительный. Но ты же можешь решить проблему с другого конца - убрать другие подозрительные факторы. И тогда уже может прокатить через браузер Зенно.

А ещё можно попробовать другие юзер-агенты использовать. Не те, что в Зенно, а скачать где-то другие.

Что всё это влияет и на аккаунты, которые не участвуют в постинге - ну там просто всё связано. Например, есть аккаунты, стабильно постящие подозрительные ссылки с такого-то диапазона IP. Теперь уже всё, что на этом диапазоне IP более подозрительно. Ну, по крайней мере у меня такие выводы по ФБ. То, что я в своих ботах вижу.

 

[Alexs0809]

Выцепили в зенно какой-то параметр, по нему и шлифуют. Много постил ?

Не особо много, в день может по 50 постов и естественно их репосты в около 30-40 группах

и посмотрела бы, что в этих 2х случаях отличается на whoer.net.

Отличная идея, сделаю отпишу о результате. И далее интересные замечания.

 

[Alexs0809]

Первое что бросилось в глаза это множество плагинов в Zenno, а особенно тот который я подчеркнул красным со значком моего "любимого" фейсбука - https://pastenow.ru/bd54e97441bfbb2b7c6cdbf8d89ee8e1
Второе что интересно, это значение donottrack
http://pastenow.ru/994f1def719e15fe146e4ee0172cda14

В чём остались вопросы:

• WebRTC - в браузере включен в Zenno (unspecified)
• vendor - в браузере есть в Zenno пустое поле

 

[justhelen]

Первое что бросилось в глаза это множество плагинов в Zenno, а особенно тот который я подчеркнул красным со значком моего "любимого" фейсбука - https://pastenow.ru/bd54e97441bfbb2b7c6cdbf8d89ee8e1
Второе что интересно, это значение donottrack
http://pastenow.ru/994f1def719e15fe146e4ee0172cda14

В чём остались вопросы:

• WebRTC - в браузере включен в Zenno (unspecified)
• vendor - в браузере есть в Zenno пустое поле

На первом скрине плагин Акробат Ридера (там написано) и вот я погуглила на всякий случай https://support.mozilla.org/en-US/questions/1046756, это реально просто Акробат Ридер. Почему там значок ФБ - хз.

По поводу остального. У меня всё точно так же, только что проверила. Т.е. дело не в этом.

Как именно ты выставляешь юзер-агент в Зенно?

 

[justhelen]

Перечитала ещё раз первый пост. Что означает "наблюдается следующая картина при входе"? Это при входе сразу после реги? Это после спама? Какое было последнее действие до этого входа?

 

[justhelen]

Почитай ещё этот пост https://theburningbloggerofbedlam.wordpress.com/2015/07/27/attention-a-warning-to-all-facebook-users/

 

[Alexs0809]

Это при входе сразу после реги?

Да картинка сразу после реги. Но я бы не назвал это спамом просто постил в свою группу а потом репостил этот пост по другим группам.

 

[Alexs0809]

Как именно ты выставляешь юзер-агент в Зенно?

Через кубик "Операции над профилем" выбрал переназначить поля профиля, там User Agent и значение Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0

 

[Alexs0809]

Почитай ещё этот пост https://theburningbloggerofbedlam.w...27/attention-a-warning-to-all-facebook-users/

Весёлый пост но логика определённая присутствует, я запускал предложенный файлик но ничего не произошло.

P.S. Мне с трудом верится что бы спецслужбы занимались такой фигнёй.

 

[Alexs0809]

Делюсь дальше наблюдениями, из новых установленных программ которые я точно не ставил и не обновлял:

• Opera Stable 45.0.2552.888 - пользовался для верстки сайта под разные браузеры но давно не открывал и тем более не обновлял
• TeamViewer 12 - тимом вообще не пользуюсь, использую anydesk

 

[justhelen]

Весёлый пост но логика определённая присутствует, я запускал предложенный файлик но ничего не произошло.

P.S. Мне с трудом верится что бы спецслужбы занимались такой фигнёй.

А я не про то. Он пишет, что страница с Касперским появлялась после того, как люди делали репост. Я об этом. Т.е. по его посту получается так: проблема вовсе не в браузере, а происходит то, чо ты сидишь с любого браузера, делаешь репост, вылетает Касперский, затем если ты поменяешь браузер, то Касперского нет. Видишь, как это похоже на твоё. Т.е. выглядит у тебя всё так на первый взгляд, будто проблема в браузере Зенно. На самом же деле (если верно то, что в его посте), может быть так, что проблема тупо появляется если после перепоста ты заходишь с тем же браузером (странная фигня). Это можно проверить

Вообще, я вот что думаю. Как-то так получается, что ты подозрительный (я думаю это из-за ай пи Ростелекома, а ещё ты юзер-агент выставляешь плохо, об этом чуть ниже). Вот ты так подозрительно заходишь на ФБ, подозрительно регишься Вылетает эта хрень. Потом ты меняешь браузер (когда заходишь через обычный) и хрень пропадает. Давай проверим эту теорию? Зарегься в обычном браузере, а потом наоборот зайди через браузер Зенно.

Юзер-агент недостаточно выставить так вот через кубик. Надо ещё там прописать свойства системы, имя браузера и т.д. Сейчас поищу сниппет.

 

[justhelen]

Делюсь дальше наблюдениями, из новых установленных программ которые я точно не ставил и не обновлял:

• Opera Stable 45.0.2552.888 - пользовался для верстки сайта под разные браузеры но давно не открывал и тем более не обновлял
• TeamViewer 12 - тимом вообще не пользуюсь, использую anydesk

Хм, тебе надо проверить комп на вирусы

 

[justhelen]

Random rnd = Global.Classes.rnd;

// user agent

int r = rnd.Next(project.Lists["user_agents"].Count);
String user_agent = (string)project.Lists["user_agents"][r];
project.Variables["user_agent"].Value = user_agent;
project.Profile.UserAgent = project.Variables["user_agent"].Value;
instance.SetHeader("HTTP_USER_AGENT", user_agent);

// OS, application

String oscpu = "";

var m = System.Text.RegularExpressions.Regex.Match(user_agent, @"(Windows|Intel Mac|Linux)[^;]+");
if (m.Success){
    oscpu = m.Value;
    project.Profile.UserAgentOsCpu = oscpu;
    project.Variables["oscpu"].Value = oscpu;
}
else
    throw new Exception("cant't get oscpu");

String appCodeName = "";
m = System.Text.RegularExpressions.Regex.Match(user_agent, @"^.*?(?=\/)");
if (m.Success)
    appCodeName = m.Value;
project.Profile.UserAgentAppCodeName = appCodeName;

String appName = System.Text.RegularExpressions.Regex.Match(user_agent, @"(?<=.* )[\w]+(?=\/[\d\.]+$)").Value;
project.Profile.UserAgentAppName = appName;

project.Profile.UserAgentProduct = "Gecko";

m = System.Text.RegularExpressions.Regex.Match(user_agent, @"(?<=Gecko\/)[\d]+");
String productSub = "";
if (m.Success){
    productSub = m.Value;
}

project.Profile.UserAgentProductSub = productSub;

// some other browser settings

instance.UsePlugins = true;
instance.BackGroundSoundsPlay = true;
project.Profile.AcceptLanguage = "en-US,en;q=0.8";
project.Profile.AcceptEncoding = "gzip, deflate, sdch";
project.Profile.HTTPAccept = "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8";
project.Profile.UserAgentAppVersion = "5.0";

У меня так сделано. Надо создать список user_agents и переменные user_agent и oscpu. Тут сейчас может кто-то начнёт кидаться тапками, что регекс, который парсит productSub плохой. Да, так и есть. Я использую мало юзер-агентов (мне так подходит) и тестила этот регекс только на них. Ещё там есть вот это место: "project.Profile.UserAgentProduct = "Gecko";". Было лень делать регекс, у меня везде Геко, так что, тут тоже надо смотреть, подойдёт ли. Короче, проверь на своём списке юзер-агентов вот это, если что, поправь регексы, чтобы нормально выдёргивалось название системы, версия и т.д.

 

[justhelen]

Весёлый пост но логика определённая присутствует, я запускал предложенный файлик но ничего не произошло.

P.S. Мне с трудом верится что бы спецслужбы занимались такой фигнёй.

А я кстати верю про спецслужбы. Почему бы им это не делать, если это очень легко? По мобилам же людей отслеживают, почему бы и инфу про компы не собрать, раз это так просто. А вообще, скорей всего это не спецслужбы, а ФБ хочет собрать инфу про твою систему (и регулярно получать от Касперского), чтобы потом лучше тебя детектить.

 

[Valiksim]

Хм, тебе надо проверить комп на вирусы

Никакие это не вирусы. Это такой способ борьбы со спамерами у ФБ. такое же есть и в ВК. Просто аккаунт попал в чёрный список, проверяют твои действия,- а что ты будешь делать в этом случае?
Лечение (подчеркнуть желаемое):
- Плюнуть на этот аккаунт
- Оставить его отлежаться
- Поискать что в твоих действиях ему показалось подозрительным
- Плюнуть на ФБ, и идти трактористом работать
О результатах выбора,- отписаться

А я кстати верю про спецслужбы. Почему бы им это не делать, если это очень легко? По мобилам же людей отслеживают, почему бы и инфу про компы не собрать, раз это так просто. А вообще, скорей всего это не спецслужбы, а ФБ хочет собрать инфу про твою систему (и регулярно получать от Касперского), чтобы потом лучше тебя детектить.

Так и собирают. И не скрывают это. Во всеуслышание говорят

 

[justhelen]

Никакие это не вирусы. Это такой способ борьбы со спамерами у ФБ. такое же есть и в ВК. Просто аккаунт попал в чёрный список, проверяют твои действия,- а что ты будешь делать в этом случае?
Лечение (подчеркнуть желаемое):
- Плюнуть на этот аккаунт
- Оставить его отлежаться
- Поискать что в твоих действиях ему показалось подозрительным
- Плюнуть на ФБ, и идти трактористом работать
О результатах выбора,- отписаться

Он сказал, что нашёл на компе проги, которые не ставил.

 

[Valiksim]

Он сказал, что нашёл на компе проги, которые не ставил.

Не понял, Кто сказал, Кому сказал?

 

[justhelen]

Не понял, Кто сказал, Кому сказал?

Блин.

Делюсь дальше наблюдениями, из новых установленных программ которые я точно не ставил и не обновлял:

• Opera Stable 45.0.2552.888 - пользовался для верстки сайта под разные браузеры но давно не открывал и тем более не обновлял
• TeamViewer 12 - тимом вообще не пользуюсь, использую anydesk

 

[Alexs0809]

Короче, проверь на своём списке юзер-агентов вот это, если что, поправь регексы, чтобы нормально выдёргивалось название системы, версия и т.д.

Спасибо за код буду пробовать.

- Поискать что в твоих действиях ему показалось подозрительным

Похоже что ему не нравятся перепосты, хотя до этого всё было норм.

Хм, тебе надо проверить комп на вирусы

Проверял, всё чисто. Хотя были остатки от кометы (половину антивирь видимо заблочил) но не знаю это произошло до запуска предложенного файла или после.

 

[Alexs0809]

Вроде я допёр, почистил кэш и куки в обычном браузере, выскочило такое же окно как и в зенке, хотя до этого не выскакивало, значит фейсбук привязывается к старым кукам и кэшу и если их нет то блочит. Скачался опять этот файлик, я его конечно же запустил, всё равно там где стоит зенка никаких данных нет, посмотрим что дальше будет.
Вот так это выглядит:
http://pastenow.ru/a51a49462d8c1c97e7a03b04c6341b52

P.S. Естественно я запустил фидлер, посмотрим куда они ломятся.

 

[justhelen]

Вроде я допёр, почистил кэш и куки в обычном браузере, выскочило такое же окно как и в зенке, хотя до этого не выскакивало, значит фейсбук привязывается к старым кукам и кэшу и если их нет то блочит. Скачался опять этот файлик, я его конечно же запустил, всё равно там где стоит зенка никаких данных нет, посмотрим что дальше будет.
Вот так это выглядит:
http://pastenow.ru/a51a49462d8c1c97e7a03b04c6341b52

P.S. Естественно я запустил фидлер, посмотрим куда они ломятся.

А я же тебя сразу спросила, что с куками. И сохраняются ли они между заходами в аккаунт. Это очень важно. Я после реги сохраняю куки для каждого аккаунта в файлы и потом загружаю, когда захожу в аккаунт. Дальше, когда уже поработала с аккаунтом, сохраняю куки снова, потом опять загружаю, когда в следующий раз захожу ну и т.д.

 

[Alexs0809]

Я тоже так делаю куки у меня сохраняются но даже с ними такое вылезло. Немного ссылок - http://pastenow.ru/8eba37c94ba41cf704e90f2e301385ad
В логах фидлера отсыл идёт сюда https://github.com/ssllabs/research/wiki/Long-Handshake-Intolerance