The Mysterious Case of Random Bots Invading My Closed Git Instance

I’ve been hosting my own Git instance for a while now, and I thought I had everything under control. That was until I started noticing a weird phenomenon – random, harmless bots were registering on my closed Git instance, bypassing the CAPTCHA protection. At first, I thought it might be a targeted attack, but the more I dug into it, the more puzzled I became.

The Investigation Begins

I started by ruling out the obvious possibilities. I have a working hCaptcha in place, which should prevent automated bots from registering. But these bots were somehow managing to complete the CAPTCHA, only to never verify their email or log in. It didn’t make sense – why would someone spend money to complete a CAPTCHA only to abandon the account?

I also considered the possibility that my instance had suddenly become popular, attracting a lot of new users. But the email addresses used to register were shady, with random letters in the subdomains, and most of them didn’t even work. I was getting notifications from my email server that the verification emails couldn’t be delivered, which suggested that these accounts were not being used by real people.

Ruling Out Other Theories

I thought maybe these bots were trying to use my email server to send spam or phishing emails to other people. But the domains used to register were not legitimate, and the emails were not being delivered. I also considered the possibility that these bots were trying to promote their own websites by adding links to their profiles. But their profiles were empty, and I had already set new users to have private profiles by default, which meant they couldn’t be used for promotional purposes.

Another theory I had was that these bots were using my instance to have fun, maybe as a way to test their CAPTCHA-solving abilities. But they were using the “local” authentication type, which meant they were registering through the email and password form, not through any OAuth providers.

A Possible Explanation

After considering all these possibilities, I’m left with one possible explanation – these bots are simply registering on my instance because they can. Maybe they’re using a tool like Shodan to find open Git instances and registering on them just for the sake of it. It’s possible that the people behind these bots have too much money or too much free time on their hands.

It’s also possible that someone is trying to confuse me or disrupt my instance, but I’m not sure what their motives would be. Either way, it’s frustrating to deal with these random registrations, and I’m not sure how to stop them.

What I’m Doing to Combat This

For now, I’ve decided to take a few steps to mitigate the issue. I’m creating a scheduled script that deletes unverified accounts after 24 hours, and another script that deletes verified but inactive accounts after 7 days. I’m also considering adding a simple question to the registration page, something like “What’s the address of this website?” or “Which engine powers my Git server?” – something that would require a human to register, but would be easy for me to verify.

I’m curious to know if anyone else has experienced this issue, and if so, how they dealt with it. Have you ever had to combat random bots registering on your Git instance? Share your stories and advice in the comments below.

O tajemniczym przypadku losowych botów, które wtargnęły na moją zamkniętą instancję Git

Odkąd uruchomiłem własną instancję Git, myślałem, że wszystko jest pod kontrolą. Jednak niedawno zacząłem zauważać dziwny fenomen – losowe, nieszkodliwe boty rejestrują się na mojej zamkniętej instancji Git, omijając zabezpieczenie CAPTCHA. Na początku myślałem, że to może być celowy atak, ale im więcej się w to zagłębiałem, tym bardziej byłem zaskoczony.

Śledztwo rozpoczyna się

Zacząłem od wykluczania oczywistych możliwości. Mam działające zabezpieczenie hCaptcha, które powinno uniemożliwić automatycznym botom rejestrację. Ale te boty jakoś udawało się ominąć zabezpieczenie CAPTCHA, tylko po to, aby nigdy nie zweryfikować swojego adresu e-mail ani się nie zalogować. Nie miało to sensu – po co komuś płacić za ukończenie CAPTCHA, tylko po to, aby porzucić konto?

Również rozważałem możliwość, że moja instancja nagle stała się popularna, przyciągając wielu nowych użytkowników. Ale adresy e-mail użyte do rejestracji były podejrzane, z losowymi literami w poddomenach, a większość z nich nie działała. Otrzymywałem powiadomienia z mojego serwera e-mail, że e-maile weryfikacyjne nie mogły być dostarczone, co sugerowało, że te konta nie były używane przez prawdziwe osoby.

Wykluczanie innych teorii

Myślałem, że może te boty próbują użyć mojego serwera e-mail do wysyłania spamu lub phishingowych e-maili do innych ludzi. Ale domeny użyte do rejestracji nie były legitime, a e-maile nie były dostarczane. Rozważałem również możliwość, że te boty próbują promować swoje własne strony internetowe, dodając linki do swoich profili. Ale ich profile były puste, a ja już ustawiłem nowych użytkowników tak, aby mieli profile prywatne domyślnie, co oznaczało, że nie mogli być używani do celów promocyjnych.

Inna teoria, którą miałem, to ta, że te boty używają mojej instancji po prostu dla zabawy, może jako sposób na testowanie swoich umiejętności rozwiązywania CAPTCHA. Ale używały one “lokalnego” typu uwierzytelniania, co oznaczało, że rejestrowały się przez formularz e-mail i hasło, a nie przez żadnych dostawców OAuth.

Możliwa wyjaśnienie

Po rozważeniu wszystkich tych możliwości, pozostaje mi jedna możliwa wyjaśnienie – te boty rejestrują się na mojej instancji po prostu dlatego, że mogą. Może używają narzędzia takiego jak Shodan do znajdowania otwartych instancji Git i rejestrują się na nich tylko dla samej zabawy. Jest możliwe, że ludzie stojący za tymi botami mają zbyt dużo pieniędzy lub zbyt dużo wolnego czasu.

Jest również możliwe, że ktoś próbuje mnie skontuzjować lub zakłócić moją instancję, ale nie jestem pewien, jakie są ich motywy. W każdym przypadku, jest to frustrujące, aby radzić sobie z tymi losowymi rejestracjami, i nie jestem pewien, jak je zatrzymać.

Co robię, aby przeciwdziałać temu

Na razie zdecydowałem się podjąć kilka kroków, aby złagodzić problem. Tworzę zaplanowany skrypt, który kasuje niezweryfikowane konta po 24 godzinach, a także inny skrypt, który kasuje zweryfikowane, ale nieaktywne konta po 7 dniach. Rozważam również dodanie prostej pytania do strony rejestracyjnej, czegoś takiego jak “Jaki jest adres tej strony?” lub “Jaki silnik napędza mój serwer Git?” – coś, co wymagałoby od ludzi, aby się zarejestrować, ale byłoby łatwe do weryfikacji.

Jestem ciekawy, czy ktoś inny doświadczył podobnego problemu i jeśli tak, to jak sobie z tym radził. Czy ktoś miał do czynienia z losowymi botami, które rejestrują się na swojej instancji Git? Podziel się swoimi historiami i radami w komentarzach poniżej.