W dniu wczorajszym serwis podbij.pl (o którym już wcześniej pisałem) rozesłał do swoich użytkowników informacje o atakach na ich serwer które uniemożliwiły przeprowadzenie kilku aukcji na bardzo wartościowe przedmioty:
W dniu dzisiejszym, tj. 1 października 2008 pomiędzy 14:11:01 a 14:22:00 miał miejsce atak na serwery serwisu Podbij.pl, który uniemożliwił prawidłowe zakończenie czterech aukcji:
Telewizor 32 cale LCD LG 32LG6000 - numer aukcji 313
Nawigacja MIO MOOV 330U - numer aukcji 322
ACER Aspire 5930G-734G32N - numer aukcji 326
Pakiet 100 podbić - numer aukcji 328
Obawiam się, że tego typu próby ataków, włamani czy też nieuczciwych licytacji mogą się niestety powtarzać. Formuła serwisu gdzie za niewielkie pieniądze można zdobyć cenne nagrody może zachęcać wielu “pseud hakerów” do spróbowania swoich sił i zmierzenia się z zabezpieczeniami systemu.
Oprócz różnego rodzaju ataków czy też szukania dziur w systemie autorzy serwisu mogą wkrótce stanąć przed sporym wyzwaniem technologicznym. W aukcjach online (lub jak kto woli loteriach) typu podbij.pl liczy się czas odpowiedzi serwera. Kluczowe więc będzie aby infrastruktura radziła sobie z odpowiednią dużą ilością requestów w bardzo krótkim okresie czasu.
Nie ma chyba w tym przypadku też mowy o ratowaniu się cachowaniem czy innego rodzaju technikami umożliwiającym rozłożenie obciążenia serwerów ponieważ cały urok tego serwisu polega na tym, że wszyscy zaczynają klikać w serwisie w bardzo wąskich przedziałach czasowych. Każde nasze kliknięcie związane jest z pieniędzmi więc wszystko musi być poprawnie zarejestrowane – w przeciwnym wypadku reklamacją użytkowników nie będzie końca i serwis straci swoją wiarygodność.
Patrząc w chwili obecnej na zegary pokazujące czas do zakończenia aukcji może zaobserwować pewne anomalie. Oglądałem serwis na dwóch różnych komputerach z różnymi systemami operacyjnymi i pod różnymi przeglądarkami i za każdym razem miałem takie same efekty. Otóż zegar odliczający czas potrafił na chwilę zatrzymać się na przykładowo 10 sekundach przed końcem po czym pokazać że do końca zostało 7 czy 8 sekund (nie pokazywał więc płynnie upływu czasu). Inna anomalia jaką obserwuję to przeskakiwanie czasu do przodu czyli patrzę na zegar i widzę 15 sekund do zakończenia akcji, następnie 16 sekund a potem 13.
Możliwe, że przyczyną tych dziwnych zachowań zegara jest flash czy też inna technologia użyta to pokazywania upływu czasu a w tle wszystko liczone i mierzone jest poprawnie – nie pomaga to jednak w licytacjach gdzie liczy się każda upływająca sekunda i może być powodem do reklamowania całych licytacji.
Mam nadzieję, że podbij.pl poradzi sobie z problemami i wyzwaniami jakie stawiają przed serwisem użytkownicy. Mimo iż sam model biznesowy nie do końca mi się podoba (mam wątpliwość, czy wszyscy użytkownicy na pewno są świadomi kiedy i jak wydają pieniądze) to jednak trzeba przyznać, że jest to jedne z ciekawszych startupów ostatnich miesięcy.
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
Myślę,że w kwestii upływu czasu na komputerze piękne pole do badań miałby Albert Einstein :)
Mnie tylko zastanawia w czym DoS może pomóc przy wygraniu aukcji – praktycznie niewykonalne jest, aby podbić aukcję i w tym samym momencie +/- kilka ms zablokować dostęp do serwerów dla innych użytkowników…
Wydaje mi się, że kilku/kilkudziesięciu użytkowników musi wziąć w tym udział (w tym samym czasie podbić aukcję, wykonać DDoS i czekać na skutki…).
to pewnie kminek ;)
@aspire1.pl – proponuję nie wchodzić w takie szczegóły techniczne bo jeszcze wymyślisz coś co później ktoś z wykorzysta :)
@Kuba – kolegę Kminak proszę zostawić mnie – nie chcę, żeby ścigał go ktoś jeszcze :)
No chyba, że znowu pochwali się jak to zhakerował tym razem podbij.pl :)
“Nie ma chyba w tym przypadku też mowy o ratowaniu się cachowaniem czy innego rodzaju technikami umożliwiającym rozłożenie obciążenia serwerów”
Hmm no polemizowałbym i to bardzo. Jak najbardziej wchodzi tu w gre caching i rozkladanie ruchu. Cachowanie plus farma serwerow www/db etc. nie ma wpływu az takiego na opoznienie aktualizacji danych. Samo cachowanie wbrew pozorm moze tutaj wiele zdzialac, nawet jesli tylko przez 0.5s dane pojda z cachu a nie z bazy to bardzo duzo. Kazda zmiana moze zmieniac klucz i czyscic cache wiec nie jest to jakis wielki problem. Replikacja bazy? Tutaj faktycznie moglby byc problem przynajmniej w MySQL. Najelepszym rozwiazniem byloby proxy (taki jak np. do postgresa) i farma rownorzednych serwerow db. Plus do tego jakis globalny filesystem (pokroju GFS) i sprawa rozwiazana.
Proszę niech mi ktoś wytłumaczy czemu pakiet 50 podbić został wylicytowany do 143 zł (i idzie dalej) http://podbij.pl/auction/355-pakiet-50-podbic to jakaś ściema i to jeszcze z bugami.
“W chwili zakończenia aukcji, powyższy Pakiet Podbić należy wykupić (za 0zł w wypadku aukcji darmowej) z zakładki “Moje konto” >> “Moje aukcje”, po czym podbicia wpłyną na Twoje konto.”
czyli nie placisz 145zl tylko 0zl + to co straciles na podbicia
od strony podbij.pl pakiet 50podbić wart 61zł sprzedaja za 1450*1,22zł
;)))
startup i biznes roku 2008
Poczytaj w dziale “pomoc” tam jest wszystko napisane o tym typie aukcji.
“Nie ma chyba w tym przypadku też mowy o ratowaniu się cachowaniem czy innego rodzaju technikami umożliwiającym rozłożenie obciążenia serwerów (…)”
Nie technika ale architektura ma wpływ na nożliwości aplikacji webowej.
zdecydowanie reklamacją nie będzie końca…
@witek – 143 złote to suma wszystkich licytacji a licytują ludzie i to od nich zależy ile chcą zapłacić. Inna sprawa, że tak jak pisałem nie wydaje mi się aby wszyscy byli świadomi jak to działa i że na końcu wylicytowaną kwotę będą musieli zapłacić.
witek-bo np może ktoś zalicytował za 40 zł i nie chce stracić?
co do zażaleń – ja wczoraj byłem zmuszony tam napisać, gdyż miałem do końca aukcji wyświetlone 3 sek, ale gdy nacisnąłem ‘podbij’ to wyświetliło, iż nie można, no i aukcja się skończyła – nie zgadzam się z tym i zażądałem wyjaśnień., bo licytowałem od dłuższego czasu (urządzenie wielofunkcyjne z wczoraj)
@witek
jest napisane czemu:
“Darmowa 10s
Cena wykupu produktu: bezpłatnie.”
Jedyna opłata to podbicia.
@Grzegorz Marczak: o ile kminek czy jak on tam mial korzystal z gotowych exploitow to tutaj akurat nie masz podstaw nazywa kogos “pseud hakerem” bo tak naprawde nie masz pojecia czy i jak cos osiagnal;]
@www.aspire1.pl: cze bachus:) ogolnie malo osob przeprowadza ataki z jednego a w szczegolnosci swojego kompa – takie cos przeprowadza sie albo z zombi (ludkow czy kafejek) albo z kont shellowych – ogolnie nic trudnego wgrac gdzies prosty program ktory o okreslonej porze przez kilka sek zaspamuje serw pytaniami o ping:)
W przypadku pakietów, nie trzeba płacić wylicytowanej kwoty :D i dlatego ceny idą tak wysoko, bo ciągle do licytacji wkraczają nowe osoby, które nie włożyły do niej jeszcze nic, a mogą sporo wyrwać.
Jak tak sobie patrze na te aukcje, to raczej malo prawdopodobne, zeby wygrano je przez jakis atak. Np. laptop, ktos ustawil automata do 75 PLN i sie skonczyl, a istnial inny i zalicytowal, wiekszosc userów jak widzi automaty to nie licytuje, zeby sie nie wypukac z podbic, a tu pech chcial ze byly tylko dwa. W sumie to z zyskiem sprzedali tylko telewizor, ale i tak znikomym, wiec może chcą sobie straty zmniejszyc, odwołując aukcje.
@Chilito – jakoś “pseudo hakerzy ” którzy blokują serwis internetowy dla telewizora czy aparatu fotograficznego nie budzą u mnie szacunku.
Dzięki za wyjaśnienia, widzę z komentarza Grzegorza, że on też nie wie jak to działa :)
@Grzegorz Marczak: hacking polega wlasnie na szukaniu okazji – mitnick (chyba najslynniejszy haker jakby kto nie wiedzial) robil podobne rzeczy, nawet przychodzil do serwerowni podajac sie za serwisanta a nikt na niego z ‘pseudo’ nie wyjezdza:) zreszta nikt nie mowi ze wlam jest dla jednego tv bo moze to byc nawet zoorganizowana grupa robiaca takie rzeczy hurtowo zeby miec na paliwo do swoich wloskich samochodow;] pseudo hakerzy to tacy ktorzy za pomoca gotowych rozwiazan kogos conajwyzej wkurza a nie ktorych zarobki od wlamu zaczynaja sie od ceny dwoch telewizorow…
#
http://www.wrzuta.pl/film/ewnPIf6syV/podbij.pl_oszustwo
http://www.wrzuta.pl/obraz/xfymfOUWVP/podbij.pl_oszustwo
bez komentarza
@chlitto: na maturze nie bez powodu wprowadzono czytanie ze zrozumieniem ;-) Znam różnicę pomiędzy DoS i DDoS; jak wspomniał hazan (abym nie wdawał się w technikę) – mnie zastanawia CEL takiego ataku (poza załatwieniem konkurencji). W przypadku udanego ataku DoS (czy jak wolisz DDoS) sam atakujący też za bardzo nie skorzysta – ponieważ serwer odmówi usługi (czyli nie będzie mógł zalicytować). Jak się wczytasz w moją wypowiedź to za jakiś czas pewnie załapiesz, co miałem na myśli :> pozdrawiam
Czyzby znowu “zyczliwi”?
-
@chilitto – widac, dla Ciebie jest wazne czy to “haker” czy “pseudo-haker”… To tak jakbys napisal zeby nie obrazac “kibica” – ktory wyrywa plyty chodnikowe – mianem “pseud-kibic”… Ciekawy kierunek rozumowania i dyskusji…
@aspire, najwięcej ludzi licytuje przed końcem czasu, wystarczy więc zalicytować 2 minuty przed końcem i przeprowadzić atak na serwer.. bla bla ..
Ciekawe, że mimo naszych wyliczeń jakie kokosy zarabia podbij.pl oni wyświetlają u siebie reklamy adsense… Wielu z nas, w tym Grzegorz wie ile na tym się zarabia. Ja bym sobie dał spokój na ich miejscu chyba, że coś z tym serwisem jest jednak nie tak.
@bez: zapoznałem się z zasadą działania (tzn. jak przeprowadzane są aukcje) i pewnie masz rację – chociaż to dość jednoznacznie wskazuje na ‘winowajcę’…
;-)
@witek – a co w tym złego?
@bez nie wiem czy jest możliwy taki atak że od razu po swoim podbiciu zablokujesz serwer tak że nikt cię nie przebije. Chyba żeby to zrobić na samym początku aukcji kiedy jeszcze tyle osob nie licytuje.
“Drogi Kliencie,
Wystąpił problem techniczny i przez to Podbij.pl jest nieosiągalne
Próbujemy rozwiązać go tak szybko jak to jest tylko możliwe, by odtworzyć pełne działanie serwisu.
Przepraszamy, że nie możesz w tej chwili podbijać.
Wszystkie aukcje zostały zatrzymane. Wznowimy je z dodanym czasem.
Zespół
Podbij.pl”
Najnowszy artykuł w Fakt:
“W związku z popularnością antyweb.pl (którego niektórzy porównują do naszego dziennika) i umieszczeniu tam informacji o problemach technicznych serwisu podbij.pl, czytelnicy bloga swoją ciekawością zablokowali serwery, powodując swego rodzaju DDoS. Pan Grzegorz M., znany w niektórych kręgach jako ‘hazan’ (chyba to oczywiste, że jak wyrzucimy z,a,n i dodamy k.er, to ujawni się prawdziwe oblicze Grzegorza: HAKER) był jedną z osób, które jako ostatnie licytowały a następnie umieściły wpis na swojej stronie. Czy to zbieg okoliczności? Będziemy starali zbadać sprawę.” ;-)
:)
zainteresowany wpisami o podbij.pl potestowalem tez aukcjagrosz.pl…
tam sie dopiero dzieje – zawsze wygrywaja userzy xxxx(jakisnumer)
z zewnatrz wyglada na przekret
poza tym aukcje od wczoraj wisza te same
dajcie cos wygrac :D
@tk> w wielu miejscach mówili, są to nr telefonów
ich zaletą jest to, że mogą licytować po czasie
[...] skoro zdarza się, że patrzę na zegar i widzę 15 sekund do zakończenia akcji, następnie 16 sekund a potem 13, to jakaś forma stempli czy innego używania czasu klientów wydaje się niewątpliwa. Może [...]
Wiceprezes zarządu Podbij.pl w wywiadzie dla interaktywnie.com opowiada o początkowych trudnościach i przyszłości nowatorskiego serwisu aukcyjnego.
http://interaktywnie.com/wywiady/26-witold-kozlowski.html
Kochani prosze o pomoc!
Wylicytowałam wczoraj Nawigację MIO aukcja 443. I spotkało mnie coś niesamowitego otóż, moje podbicie było najwyższe, ale to nie ja wygrałam aukcję??? W najwyższych ofertach widać wyraźnie, że moje podbicie było najwyższe a tu taki klops wygrał kto inny z mniejszym podbiciem. Jak to możliwe. Napisałam reklamację z prośba o wyjaśnienie tej dziwnej sytuaji, bo skoro serwis skasował mi za podbicie i widać, że zostało podbite, to dlaczego moje podbicie, ostatnie i najwyższe zgodnie z Regulaminem, nie gwarantuje mi wygranej???
Nie rozumiem. Przecież moja oferta była najwyższa! Moze spotkało Was coś takiego?
no i zaczyna się, miałeś rację hazan…
Agutia, właśnie na tym polega natura tego serwisu, że nie wygrywa ten, kto najwięcej podbije, tylko ten, kto podbije do najwyższej ceny. czyli jak jakiś świeżo zarejestrowany user podbije na 2 sekundy pod koniec aukcji, i nikt potem go nie przebije, to on wygra, chociaż podbił najmniej.
Czytamy ze zrozumieniem.
[...] informacji o podbij.pl znajdziecie pod linkami: Antyweb: Kto tu na kim zarabia? Antyweb: Podbij.pl – pierwsze ataki i wyzwania Interaktywnie: Wywiad z Witoldem Kozłowskim – wiceprezesem Podbij.pl Powerblog: Podbij.pl – ciąg [...]
Spróbuj zagrać na http://www.lolobid.pl
Ja też sobie dałem spokój z takimi portalami. Wiem, że nikt nikom nie da nic za darmo, jak i za grosz..
Ostatnio w sieci pojawił się serwis, w którym prowadzone są o okreslonej porze aukcje na żywo, przez żywą osobę, bez żadnych podbijaczy, opłat itp.
Zupełnie inne zasady, a już na pewno większe prawdopodobieństwo wylicytowania czegos.
Zobaczcie http://targujesie.pl