Методы борьбы с ботами - распространителями вирусов

Быстрый ответ

Суть проблемы ясна из этих скриншотов:

Спойлер

Пояснения.

Как видите, расшаривается большое количество файлов, 30 - 50 тысяч, со всякими завлекающими именами, чтобы проще было найти. TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

Чтобы не было лишних сомнений - такие боты представлены на всех крупных хабах. Не верите - проверьте. (а также посмотрите последний скриншот)
Думаю, излишне говорить, что такие вещи сильно бьют по всей системе DC++, так как ничего не подозревающие хомячки скачивают эти трояны и становятся частью ботнета, или у них крадут пароли и т.д. и т.п.

Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально.

Ну и наконец, не прошло и года, как мы изготовили скрипт для борьбы с этой заразой, вам остается только скачать и запустить
Скрипт "Anti Fake-bot" для PtokaX, автор Быстрый ответ, во вложении внизу.

Скрипт "Ledokol" для Verlihub by RoLex: Здесь
Или здесь
Описание AVDB by RoLex: Прочитать

Kimbo · Сообщение **Kimbo** » 08 дек 2012, 17:19

Быстрый ответ писал(а):Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

запрещай сидеть с шарой из одних этих файлов

если у юзера % этих файлов превышает в шаре, то на йух их посылай "Fuck you troyan luZer

"

Ren©o · Сообщение **Ren©o** » 09 дек 2012, 13:20

Быстрый ответ, думаю даже за деньги не найдешь людей. Нужно потратить очень много ресурсов, а выхлопа как бы вообще не будет. Пользователям нужно - пускай они эти и занимаются, логично?

Kimbo · Сообщение **Kimbo** » 09 дек 2012, 13:34

Ren©o писал(а):логично?

нет!

Ren©o писал(а):Нужно потратить очень много ресурсов

каких ещё ресурсов?

Ren©o писал(а):думаю даже за деньги не найдешь людей.

А ты предлагал, что так пишешь?)
P.S. мне говорят, что это уже полноценный бот нужен, одним скриптом не отделаться, хотя можно, но нагрузка на хаб будет, лучше или lua + клиент или отдельный бот.

Ren©o · Сообщение **Ren©o** » 09 дек 2012, 13:46

Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...
Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему. И прогер писать такой сервак ниодин месяц. Чего не логичного?

Kimbo · Сообщение **Kimbo** » 09 дек 2012, 13:52

Ren©o писал(а):Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему.

какой сервер, ты о чём?)) Обычный грейлинк (к примеру) берёшь, пишешь скрипт на lua и всё, он сам всё будет делать, какой канал, а темболее мощный сервер и канал, ты о чём?)

Ren©o писал(а):Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...

да ладно, где?

Ren©o · Сообщение **Ren©o** » 09 дек 2012, 16:14

Kimbo, не собираюсь с вами спорить.
Быстрый ответ, вы недооцениваете масштабов задумки. На простом грейлинке и lua скрипте, как говорит Kimbo, такое не сделать, все повиснет и загнется. И потом чтобы был эффект, чистить надо все хабы, а не один, или запретить пользователям сидеть на нескольких хабах.

Kimbo · Сообщение **Kimbo** » 09 дек 2012, 16:45

Ren©o писал(а):запретить пользователям сидеть на нескольких хабах.

а это глупо.
а с троянами я боролся раньше "глупо", а точнее просто банил страны забугорных юзверей у которых эти трояны чаще всего в шаре находил, US, RO, FR, DE тип таких стран, чаще у румын и америкосов эти трояны сидят в шаре

Emperio · Сообщение **Emperio** » 09 дек 2012, 19:07

Да, это глупо..., также глупо как и банить страны забугорных юзверей. Насколько я помню, тут были и другие подобные темы. Всё это выходит за рамки энтузиазма, а посему надо забить, по крайней мере до лучших времен

Kimbo · Сообщение **Kimbo** » 09 дек 2012, 19:28

Emperio писал(а):Да, это глупо..., также глупо как и банить страны забугорных юзверей.

ну да, потому я переделал из бана просто в запрет скачки и отдачи у забугорных юзверо-троянщиков, что бы не заходили к ни в шару и не качали)))

Mультик©™

А по поводу скрипта задумайся над тем что бы в поиске не выдавал расширения .exe и т.д. Это для начала.

Mультик©™

Кстати, как то месяцев 7 назад пробовал сделать скрипт на основе антипорно по TTH, не стал возиться, пока забросил.

Kimbo · Сообщение **Kimbo** » 09 дек 2012, 21:17

Быстрый ответ писал(а):TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

читал что ТС писал?

Но форматы бывают разные, вот грей вообще чудными форматами пичкает "шару"

HackFresse · Сообщение **HackFresse** » 10 дек 2012, 15:26

Снова из нормальной темы срач развели...

Теперь хочу услышать идеи, каким образом с ними бороться. Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально. Но мне, например, такое написать не по силам. Кто возьмется?

Как бороться? Я вижу тут варианта 2 - или банить (бесполезно?), или блочить файлообмен.
1) бот видит факт бана и меняет имя и IP, снова заходит на хаб, поиск и выдача бана повторяются.
2) бот остаётся висеть на хабе, но попытки соединения с ним заканчиваются неудачей - файл не скачивается. Но кроме самого файлообмена нужно запретить отвечать на поисковые запросы, различные имена файлов для того и нужны, чтобы названием своим завлекать юзера скачать какашку. Нету выдачи в результатах поиска - нету добавления в закачки - файл не скачивается.

Как найти таких вредителей, чтобы банить и блочить?
Вероятнее всего, это будут в основном иностранные незареганные юзеры.
Нужно сначала набрать некоторую статистику по самим вредным файлам и файл-листам, чтобы понять, как они генерятся. Если есть куча одинаковых ттх для разных по размеру и названию файлов - задача довольно сильно упростится.

На хабе можно делать только блокировку, все проверки - на вспомогательных серверах

HackFresse · Сообщение **HackFresse** » 10 дек 2012, 15:30

Идея блочить по списку ттх тут вряд-ли прокатит из-за большого количества этих самых вариантов файлов, список ников-IP будет ощутимо меньше

HackFresse · Сообщение **HackFresse** » 10 дек 2012, 15:31

Тут еще заодно стоит поднять тему про фейковую шару у грейлинка, что там было придумано и как борьба с фейкерами была (не) реализована

Kimbo · Сообщение **Kimbo** » 10 дек 2012, 16:35

как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко

Сообщение dm » 10 дек 2012, 17:01

Тоже вчера заметил этих ботов с .exe-шками в шаре. Помню, такое раньше наблюдал в ослосети. Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен.

Kimbo · Сообщение **Kimbo** » 10 дек 2012, 17:07

dm писал(а):Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен.

ещё раз и по-подробней, как они могут следить юзерами у которых .ехе "фейк-троян" за чем либо? Это боты что ли, не люди живые?)

Мультикович

Я писал что антипорно переделывал, собирал TTH и не банил он по ним, может я мало ждал? А так это был бы самый простой способ. Собирал я их через каждые 50, получалось прилично, проверял у разных, повторялись.Не думаю что так просто будет искать и чистить от них шару ботоводам когда их бывает несколько тысяч.

HackFresse · Сообщение **HackFresse** » 10 дек 2012, 17:15

Еще можно понаблюдать за поисковыми запросами (поиск-шпион), там часто ботов заметить можно. Например, постоянные запросы на поиск doc, txt, xls
Второй вопрос, как этот самый вредный бот реализован.. Если просто тупо дц-клиент с "честной" шарой из вредных файлов - одно, но если более целенаправленное действие, то надо много думать

Мультикович

Kimbo писал(а):как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко

Ещё с десяток стран не хочешь... Далеко ты от этого ещё. Не все трояны...
Какой скрипт, не смеши, он ещё с того года есть. Писатель )

Kimbo · Сообщение **Kimbo** » 10 дек 2012, 18:34

Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.

пруфлинк в студию.

Мультикович

Kimbo писал(а):Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.

Да легко, вот. если захочешь, сделаешь что бы не редиректил а банил.
Мда - нормально ссылку даже нельзя скрыть...не путать с спойлером. Тогда так:
http://mydc.ru/topic5132.html?hl=redirect

Kimbo · Сообщение **Kimbo** » 10 дек 2012, 19:05

спасибо что дал пруфлин на мой скрипт