PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Skandal VCheck v4.1 umgehbar



jpwfour
14.09.2010, 14:39
>>>Zum Bugfix (http://www.designerscripte.net/showpost.php?p=91406&postcount=11)<<<

Wie in diesem Thema angesprochen:
User nicht in der V-Check Liste (http://www.designerscripte.net/showthread.php?t=12698)

scheint es die Möglichkeit zu geben, die "Zählung" im VCheck zu umgehen, dennoch die Klicks vergütet zu bekommen und in Rallyes etc gewertet zu werden.

Da ich das grad Interesse halber mal ausprobiert habe, muss ich sagen, es ist sogar fast zu einfach, daher bin ich (mal wieder) ziemlich enttäuscht :suspicious:

Ich zitiere dazu:

Vcheck v4, der wohl beste Vcheck aller Zeiten.
...
- nicht vergütete Klicks zählen nicht mehr zu den Rallys und zum Smiliebonus etc.
...
- durch ein bei der Installation frei wählbares 16-stelliges Passwort kann dieser Vcheck auch nicht manipuliert werden. einige Variablen werden verschlüsselt übergeben und bilden zusammen mit dem Passwort was nicht übertragen wird einen md5 hash.(http://www.mac-lose-shop.de/?content=/shop/details&id=51)

Mir scheint, seit es den VCheck gibt, ist es den Fakern noch leichter gemacht worden, da sich die Webbis in trügerischer Sicherheit wähnen :biggrin1:

Dabei wäre es vermutlich relativ einfach, diese Möglichkeit zu unterbinden, evtl. findet sich in nächster Zeit ja eine Möglichkeit dazu.

Wer wissen will, wie es funktioniert, kann mich anschreiben, sofern er/sie Seitenbetreiber ist und berechtigtes Interesse daran hat ( weil er/sie selber programmieren kann und evtl. ne Lösung einbauen will).

jpwfour
14.09.2010, 16:03
Evtl. Ansatz wäre in der Datei
v_top.php (im VMS1 Hauptverzeichnis, wird in der topframe_forced.php eingebunden bei der Vergütung bzw. beim Vergütungsvorgang aber vor der Vergütung :wink:)

ein paar Zeilen hinzuzufügen:


$check= mysql_fetch_array(db_query("SELECT * FROM ".$db_prefix."_vcheck_codes WHERE code='$v1'"));
if($check['status']=='0')
{
$grund.='Keine Verguetung:';
// dann die liste mit den ganzen gründen ....
$forced['verdienst']='0';
$v_message=$grund;
}
else if($check===false)
{
$forced['verdienst']='0';
$v_message='<br>fc.php umgangen';
}
else
{
$v_message='Kampagne beim Sponsor verguetet';
}
neu ist also das:


else if($check===false)
{
$forced['verdienst']='0';
$v_message='<br>fc.php umgangen';
}

Dieser Teil tritt ein, wenn die entsprechende Zeile in der Tabelle vms_vcheck_codes nicht vorhanden ist,w as sie aber sein sollte, meiner Meinung nach.

Hab das jetzt noch nicht ausführlich getestet.

Sollte das jemand testen wollen, evtl mitloggen lassen:

file_put_contents ( 'vlog.log' , time().' '.$_SESSION['uid']."\r\n" , FILE_APPEND );
Datei muss vorhanden sein bzw. beschreibbar.

Punscha
14.09.2010, 17:20
Hallo
Also wie man so etwas unterbinden könnte, daran hätte ich doch sehr großes Interesse, aber mir selbst etwas aus den Fingern zu schütteln ist mir ein bisschen zu groß :D

Das werde ich mal bei Gelegenheit auf meiner Testseite ausprobieren... komme aber jetzt nicht dazu...
und wie man das Ganze umgehen kann würde mich echt mal interessiere
Seitenbetreiber bin ich ;)

Punscha

DimpleX
14.09.2010, 17:22
super info

ich bin mal gespannt wie skandal reagiert für das kostenpflichtige addon


DimpleX

DJschatz27
14.09.2010, 17:53
tachchen da bin ich auch mal gespannt weil das addon war teuer genug hab Skandal auch mal angeschrieben weil mir fehlt da die update funktion wäre ganz gut für solche sachen hoffe da kommt eine reaktion zurück

PS:Skandal hat geantwortet und hoffe er sagt hier mal was zu

Kraemer84
14.09.2010, 21:03
deswegen fang ich gar nicht mit vcheck an.. ne echt das werd ich mir auch nicht einbauen ..

weil dann kommt das dann das dann das und jenes da is ne da werden halt mal die bg für verluste angepasst und gut ist

man kann das auch mal seinen usern mitteilen und wenn die mitspielen dann kann man die bg auch wieder senken

also momentan fahr ich noch mit der vertrauensschiene und bisher hat das auch gut geklappt..

pummuk
14.09.2010, 21:11
deswegen fang ich gar nicht mit vcheck an.. ne echt das werd ich mir auch nicht einbauen ..

weil dann kommt das dann das dann das und jenes da is ne da werden halt mal die bg für verluste angepasst und gut ist

man kann das auch mal seinen usern mitteilen und wenn die mitspielen dann kann man die bg auch wieder senken

also momentan fahr ich noch mit der vertrauensschiene und bisher hat das auch gut geklappt..

glaubs mir.... du wirst überrascht sein wer die sponsoren alles nciht freigibt.... und du drauf zahlst....

oder es werden nur die sponsoren freigeschalten, welche geprüft werden... spreche da aus erfahrung.

didith1207
14.09.2010, 21:13
hzmm..

sorry Kraemer84 schön das du soviel vetrauen in deine User hast aber ich habe zb 1200 User und ich sehe es nicht ein das ich die BG höher stellen soll wegen den schwarzen Schafen ;)

Ehrliche User haben sich eine ehrliche Vergütung verdient und ein V-check ist wichtiger als alles andere auf einer Klickseite!!

Kraemer84
14.09.2010, 21:18
naja dann bau ich halt auf was anderem auf..

und eine seite ist meiner ansicht eine gemeinschaft klar wird es immer schwarze schafe geben aber hey ich hab schon vchecks gesehen die sperren erst und geben dann trotzdem frei

und wenn so ein system echt noch in den kinderschuhen steckt dann hab ich keine lust drauf weil das genauso sicher ist als wenn sich user an die regeln halten

ok mein fachwissen reicht da noch lange nicht aber ist eine no script sperre im frame nicht einfacher ??

weil die meisten vergütungssperren kommen doch eh meist durch no script ?

jpwfour
14.09.2010, 21:32
@kraemer:
In diesem Fall geht es um einen Bug, der es Fakern ermöglicht, mittels Skript alle Banner "durchzuklicken", dabei die Vergütung zu kassieren und nicht einmal die beworbene Seite geladen zu haben, und dabei wird der VCheck umgangen und der Webbi bleibt auf den Kosten sitzen.

Da dazu natürlich etwas Hintergrundwissen gehört, machen das vermutlich nur 1% oder weniger der Klicker, und da die meisten Faker früher oder später erwischt werden, macht das auch kaum einer Jahrelang.

Daher wirkt sich das auf den Gesamt Klickumsatz evtl wenig aus, dennoch bin ich der Meinung, dass, und wenn es nur 1 einziger ist, der sich so Lose betrügerisch verdient, man was dagegenunternehmen sollte um die Leute nicht nur im Nachhinein zu erwischen, sondern ihnen von vornherein keine Chance zu geben.

Grundsätzlich mss aber dazu nicht unbedingt ein solches VCheck System her, weil ich stark vermute, dass dadurch viele "ehrliche" Klicker abgeschreckt und zu unrecht abgestraft werden, nur weil sie ihren Browser nicht richtig konfiguriert haben. Auch der Spportaufwand der für einen Webbi durch den VCheck entsteht wird kaum gerechtfertigt denke ich :wink:

Aber an sich ja anderes Thema :yes:

j.knopf
15.09.2010, 16:45
gefixt.

Fix kann bei mir im Shop auf der Startseite (auch ohne Anmeldung) runtergeladen werden:

Einfach die entsprechende Version der Datei (4.0 bzw. 4.1) runterladen, entpacken und die auf dem Server vorhandene überschreiben.

http://www.mac-lose-shop.de/service/v_top4.0.rar
http://www.mac-lose-shop.de/service/v_top4.1.rar

marcaust
15.09.2010, 19:04
Das verhindert zumindest schon mal den Aufruf und Vergütung bei den Sponsoren die VCheck haben, es auch Funktioniert und auch aktiviert ist, bei allen anderen geht das weiterhin.

Ich bin der Ansicht das man in der fc.php einen Wert setzen muss den man in der topframe_forced.php wieder einliest um das unabhängig vom VCheck zu lösen.

j.knopf
15.09.2010, 19:15
also als 2ten Schritt könntest du den Direktaufruf der Topframes unterbinden...gab glaube ich hier sogar mal ne Howto wie man das macht
macht die Sache zwar immer noch nicht unmöglich, erhöht aber den Schwierigkeitsgrad

j.knopf
15.09.2010, 19:28
wobei so dumm ist das garnet mit dem was du da sagst.. Ein Ansatz wäre in der fc.php und im Topframe einen Wert zu hinterlegen...quasi als Passwort und dieses Passwort zusammen mit der Kampagnentan als md5hash an das Topframe zu übergeben. Im Topframe macht man das selbe nochmal, also nen md5hash aus dem Passwort und der Tan.
Dann muss der an das Topframe übergebene hash mit dem im Topframe erstellten identisch sein, damit es weitergeht..
Kommt ein falscher hash oder keiner, gehts halt nicht weiter. Und da keiner das hinterlegte PW kennt, ist es auch fast aussichtslos die hashs zu faken...

Hört sich komplizierter an, als es wirklich ist..

jpwfour
15.09.2010, 20:06
Das stimmt, das VMS1 Grundsript sollte evtl auch schon dafür sorgen, dass die fc.php besucht wird, bevor der topframe geladen wird, und es gäbe Möglichkeiten dazu.

Andereseits gibt es selbst dann noch die Möglichkeit, zwar diese beiden Dateien zu laden/vom Server anzufragen, nicht aber die igentlich beworbene Seite zu besuchen (auch wenns dann noch ein Stück komplizierter wird für die Faker :wink:).

Da es im Grundscript sonst keinen zwingenden Grund für den Aufruf der fc.php gibt, im VCheck dieser aber essentiell ist, fällt es da halt eher auf.

Gibts nicht irgendwo 'nen Thread für die nächste VMS1 Version? Da könnte man das dann vorschlagen.

marcaust
15.09.2010, 22:42
also als 2ten Schritt könntest du den Direktaufruf der Topframes unterbinden...gab glaube ich hier sogar mal ne Howto wie man das macht
macht die Sache zwar immer noch nicht unmöglich, erhöht aber den Schwierigkeitsgrad

Die Lösungen die ich hier mit der Suche nach: direktaufruf gesichtet habe klappen im FF leider nicht.

j.knopf
16.09.2010, 22:53
..dann versuch mal folgendes (Beispiel setzt vorraus, das der Vcheck 4.x eingebaut ist, lässt sich aber auch ohne Vcheck umsetzen)

öffne die v_fc.php im Rootverzeichnis und suche:



if($row['status']=='1')


direkt darüber fügst du das hier ein:



$zugriff=md5($forced['tan'] . $percode);
$forced['tan'] = $forced['tan'].'&pass='.$zugriff;



dann öffnest du die Datei topframe_forced-php und suchst das hier:


@include('v_top_oben.php');


und fügst darunter das hier ein:


$gesendet= addslashes ($_GET['pass']);
$kontrollpass=md5(addslashes ($_GET['tan']) . $percode);
if($kontrollpass != $gesendet || !isset($_GET['pass']))
{
echo'<center> Unberechtigter Aufruf!';
}
else
{


dann suche den metarefresh und füge am Ende hinter:


&ch_time='.base64_encode($time_1).'


das hier ein:


&pass='.$_GET['pass'].'


sollte dann also so aussehen:


echo '
<meta http-equiv="refresh" content="'.$wartezeit.';url=topframe_forced.php?art='.$_GET['art'].'&auszahlen=true&tan='.$forced['tan'].'&puk='.$puk.'&ch_time='.base64_encode($time_1).'&pass='.$_GET['pass'].'">';

dann setzt du gaaaanz unten in der Datei noch das hier rein:


<?
}
?>


funktioniert prima bei mir. Natürlich kannst du die simple Anzeige der nachricht auch noch etwas deinen Wünschen entsprechend anpassen ;-)

Wers sehen will -> http://www.mac-lose.de/topframe_forced.php

Versteht sich natürlich von alleine, das dies dann in allen Dateipaaren der Klickbereichen gemacht werden muss/sollte, also die entsprechenden Topframes für Mails, Paidlinks , Highforced und was ihr sonst noch so habt.. die v_fc.php braucht natürlich nur einmal geändert zu werden, weil die ja überall includiert wird

DeDiHo
17.09.2010, 00:38
hmmm, bei mir erscheint danach aber immer Unberechtigter Aufruf! nachdem die Vergütung erfolgt sein sollte.

j.knopf
17.09.2010, 05:43
Ja...hatte in der Eile den Metarefresh vergessen.. Habs mal editiert

DeDiHo
17.09.2010, 12:51
sowas hat ich vermutet, aber wusst net was ich wo eintragen soll, im meta machts natürlich am meisten sinn :thumb: gleich mal testen

marcaust
17.09.2010, 18:32
Ich teste da gerade einen etwas anderen Weg:
in der fc.php hab ich vor:
@include('v_fc.php');
das eingefügt:


$_GET['tan'] = addslashes ($_GET['tan']);

$code="hiermalmitdenfingernüberdieTastaturgehen234567890";
$stan = sha1($_GET['tan'].$code);

$_SESSION[".$stan."] = $stan;


und in der topframe_forced.php direkt vor:

// User bezahlen und Reload schreiben
if ($auszahlen...



if ($_SESSION[".$stan."] != $stan) {
$headmsg = 'FC Umgangen';
$force_error = 'true';
$forced['verdienst'] = 0;
}


nicht ganz so elegant wie das von j.knopf aber bisher scheint es auch zu Funktionieren ;-)