Mysterious Bots Invade My Closed Git Instance: A Puzzle to Solve

I’ve been running my own closed Git instance for a few weeks now, and I’ve stumbled upon a weird phenomenon that’s got me scratching my head. Random, harmless bots have been registering on my instance, bypassing the captcha and leaving me wondering what their motives are.

The Bots’ Behavior

At first, I thought it was just your run-of-the-mill spam, but as I dug deeper, I realized that these bots weren’t behaving like typical spammers. They would register with anonymous or temporary email addresses, but never log in or verify their accounts. It was as if they were just creating accounts for the sake of creating accounts.

I’ve tried to rule out a few possibilities. I’ve got a working hCaptcha in place, which should prevent automated bots from registering. But these bots seem to be using human work to complete the captcha, which raises more questions than answers. Why would someone spend money to create bot accounts that don’t even log in or interact with the instance?

Ruling Out Possibilities

I’ve considered a few scenarios to explain this strange behavior. Maybe I’m the target of a coordinated attack, and someone is creating thousands of accounts to overwhelm my instance. But if that were the case, wouldn’t they need to verify their accounts and log in to cause any real damage? And why would they spread out the account creation over several weeks instead of doing it all at once?

Another possibility is that these bots are trying to promote their own websites or services. But when I looked at their profiles, I found that they were empty and didn’t contain any promotional links. I’ve also made sure that all new users have private profiles by default, and I’ve disabled the explore users page, so it’s not like they’re trying to get their links seen by search engines.

Maybe these bots are just having fun, registering on my instance for the sake of it. But if that’s the case, why are they using the “local” authentication type, which requires them to register through an email and password form instead of using one of the 30 OAuth providers I have available?

A Possible Explanation

My final guess is that these bots are simply seeking out random Git instances, like mine, and registering accounts for some unknown reason. Maybe they have too much money or too much free time on their hands. Or perhaps someone is trying to confuse me or disrupt my instance, but I’m not sure what their endgame is.

What I’m Doing About It

To deal with these mysterious bots, I’ve decided to take a few steps. First, I’m creating a scheduled script that deletes unverified accounts after 24 hours. This should help prevent these bots from cluttering up my instance. I’m also creating another script that deletes verified but inactive accounts after 7 days, which should help get rid of any accounts that are just sitting idle.

I’m also considering adding a simple question to the registration page, something like “What’s the address of this website?” or “Which engine powers my Git server?” This should help filter out bots that are designed to target generic Git instances, rather than my specific instance.

A Call for Help

If you’ve experienced anything similar, I’d love to hear about it. I’ve searched online and haven’t found many instances of this type of behavior, so I’m curious to know if I’m just a lone victim or if this is a more widespread issue. Maybe together, we can figure out what’s going on and find a way to stop these mysterious bots.

Boty Tajemniczo Wkraczają Na Moją Zamkniętą Instancję Git: Zagadka Do Rozwiązania

Od kilku tygodni prowadzę własną zamkniętą instancję Git, i natrafiłem na dziwny zjawisko, które mnie zaintrygowało. Losowe, nieszkodliwe boty zaczęły rejestrować się na mojej instancji, omijając captcha i pozostawiając mnie z pytaniem, jaki jest ich cel.

Zachowanie Botów

Początkowo myślałem, że to jest zwykły spam, ale gdy głębiej sięgnąłem, zorientowałem się, że te boty nie zachowują się jak typowi spammerzy. Rejestrują się z anonimowymi lub tymczasowymi adresami e-mail, ale nigdy nie logują się ani nie weryfikują swoich kont. To tak, jakby tworzyli konta tylko po to, by tworzyć konta.

Próbowałem wykluczyć kilka możliwości. Mam działającą hCaptcha, która powinna uniemożliwić automatycznym botom rejestrację. Ale te boty wydają się używać pracy ludzkiej do ukończenia captcha, co budzi więcej pytań niż odpowiedzi. Dlaczego ktoś miałby wydawać pieniądze na tworzenie kont botów, które nawet nie logują się ani nie interakcjonują z instancją?

Wykluczanie Możliwości

Rozważyłem kilka scenariuszy, aby wyjaśnić to dziwne zachowanie. Może jestem celem zorganizowanego ataku, i ktoś tworzy tysiące kont, aby zalać moją instancję. Ale gdyby tak było, nie potrzebowaliby oni weryfikować swoich kont i logować się, aby zrobić jakąkolwiek szkodę? I dlaczego rozciągają tworzenie kont na kilka tygodni zamiast zrobić to wszystko naraz?

Inna możliwość to, że te boty próbują promować swoje strony internetowe lub usługi. Ale gdy spojrzałem na ich profile, zobaczyłem, że są puste i nie zawierają żadnych linków promocyjnych. Uważam również, aby wszystkie nowe konta miały profile prywatne domyślnie, i wyłączyłem stronę eksploracji użytkowników, więc nie ma mowy o tym, że próbują dostać swoje linki do wyszukiwarek.

Może te boty po prostu się bawią, rejestrując się na mojej instancji dla samej zabawy. Ale jeśli tak, to dlaczego używają “lokalnego” typu uwierzytelniania, który wymaga od nich zarejestrowania się przez formularz e-mail i hasło zamiast użyć jednego z 30 dostawców OAuth, których mam?

Możliwe Wytłumaczenie

Moja ostateczna hipoteza jest taka, że te boty po prostu szukają losowych instancji Git, jak moja, i rejestrują konta z nieznanego powodu. Może mają zbyt wiele pieniędzy lub zbyt wiele wolnego czasu. Albo ktoś próbuje mnie zmylić lub zakłócić moją instancję, ale nie wiem, jaki jest ich cel.

Co Robię w tej Sytuacji

Aby poradzić sobie z tymi tajemniczymi botami, postanowiłem podjąć kilka kroków. Po pierwsze, tworzę zaplanowany skrypt, który kasuje niezweryfikowane konta po 24 godzinach. To powinno pomóc zapobiec zalewaniu mojej instancji przez te boty. Tworzę również inny skrypt, który kasuje zweryfikowane, ale nieaktywne konta po 7 dniach, co powinno pomóc usunąć konta, które po prostu siedzą bezczynnie.

Rozważam również dodanie prostego pytania do strony rejestracyjnej, czegoś w rodzaju “Jaki jest adres tej strony?” lub “Jaki silnik napędza mój serwer Git?” To powinno pomóc filtrować boty, które są zaprojektowane do atakowania ogólnych instancji Git, a nie mojej konkretnie.

Wezwanie do Pomocy

Jeśli doświadczyłeś czegoś podobnego, chciałbym usłyszeć o tym. Szukałem w internecie i nie znalazłem zbyt wielu przypadków takiego zachowania, więc jestem ciekawy, czy jestem sam czy to jest szerszy problem. Może razem możemy rozwiązać tę zagadkę i znaleźć sposób, aby powstrzymać te tajemnicze boty.