Как поймать ботов на битриксе?

Question

[Константин]

Суть проблемы такая, боты регистрируются на сайте пачками, убрали форму регистрации но это их не остановило.
Погуглив, возможно плохо, наткнулся на инфу что каким то образом можно в ядро долбить запросы тем самым обходить все.

Как это обрубить на корню. Может какие то htaccess правила, может в ядро дописать. Понимать как и куда они делают запросы.

Answer 1

[Александр Фалалеев]

1.

WAF к nginx или apache (в зависимости от того что у Вас стоит).

0.

Обратитесь к специалисту.

Comments

[Константин]

Ну собственно по этому я и написал на хабр QA. Чтобы получить от спеца какую то информацию, как происходит что в ядро могут прилетать запросы на прямую как это происходит.

[Александр Маджугин]

Константин, а как ненапрямую? Подумайте об этом.

[Константин]

Александр Маджугин, Не совсем понятно что вы имели ввиду.
Я о том что /auth/?register=yes на него отправляется куча (или не всегда куча ) POST с полями формы включая капчу(и) которую хитрым образом нагибают.

Как вариант исхитрились и сделали поле со свойством display none робот его палит и заполняет на этом этапе и отсекаем, но на долго ли это все.

[Александр Маджугин]

Константин, я имею ввиду что прячьте форму, не прячьте форму, боту она вообще не нужна. Можете мульён туда засунуть полей с display:none - бот в нее даже не смотрит и не хочет ничего знать.
Бот знает какой запрос сформировать для регистрации через ядро.

/auth/?register=yes

А вы уверены что запросы идут именно на этот адрес? Вы проверяли логи?

Как вариант исхитрились и сделали поле со свойством display none робот его палит и заполняет на этом этапе и отсекаем, но на долго ли это все.

Можно - добавьте в шаблон регистрации поле такое.
Но дело скорее всего не в этом. Вероятнее всего бот использует запрос к ядру, а не к вашей форме.

[Константин]

Александр Маджугин, угу логи именно это и показывают что бот туда стучит. Но как хитро обмануть бота чтобы не навредить пользователю

[Александр Маджугин]

Ну попробуйте тогда скрытое поле. Просто добавьте его в шаблон компонента регистрации, а в скрипте /auth/index.php проверяйте его заполненность.
Только не display:none конечно, а left: -90000px; что-то такое.

Answer 2

[Александр Маджугин]

Отключите регистрацию пользователей просто и всё.
Рабочий стол
Настройки
Настройки продукта
Настройки модулей
Главный модуль

Галочка "Позволять ли пользователям регистрироваться самостоятельно?"

Comments

[Константин]

Этот вариант исключен, регистрация нужна.