Методы борьбы с ботами - распространителями вирусов

Общение админов хабов и их юзеров.
Аватара пользователя
Быстрый ответ
 
Сообщения: 436

Методы борьбы с ботами - распространителями вирусов

Сообщение 08 дек 2012, 00:39

Суть проблемы ясна из этих скриншотов:

Скрытый текст
ИзображениеИзображениеИзображение
Изображение

Пояснения.

Как видите, расшаривается большое количество файлов, 30 - 50 тысяч, со всякими завлекающими именами, чтобы проще было найти. TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

Чтобы не было лишних сомнений - такие боты представлены на всех крупных хабах. Не верите - проверьте. (а также посмотрите последний скриншот)
Думаю, излишне говорить, что такие вещи сильно бьют по всей системе DC++, так как ничего не подозревающие хомячки скачивают эти трояны и становятся частью ботнета, или у них крадут пароли и т.д. и т.п.

Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально.

Ну и наконец, не прошло и года, как мы изготовили скрипт для борьбы с этой заразой, вам остается только скачать и запустить
Скрипт "Anti Fake-bot" для PtokaX, автор Быстрый ответ, во вложении внизу.

Скрипт "Ledokol" для Verlihub by RoLex: Здесь
Или здесь
Описание AVDB by RoLex: Прочитать
Вложения
antifake.lua
(7.78 КБ) Скачиваний: 248
Последний раз редактировалось Быстрый ответ 02 апр 2017, 13:59, всего редактировалось 16 раз(а).

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 08 дек 2012, 17:19

Быстрый ответ писал(а):Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

запрещай сидеть с шарой из одних этих файлов *CRAZY*
если у юзера % этих файлов превышает в шаре, то на йух их посылай "Fuck you troyan luZer *TROLL* "
Последний раз редактировалось Kimbo 08 дек 2012, 17:23, всего редактировалось 1 раз.

Ren©o
 
Сообщения: 56

Сообщение 09 дек 2012, 13:20

Быстрый ответ, думаю даже за деньги не найдешь людей. Нужно потратить очень много ресурсов, а выхлопа как бы вообще не будет. Пользователям нужно - пускай они эти и занимаются, логично?

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 09 дек 2012, 13:34

Ren©o писал(а):логично?

нет!
Ren©o писал(а):Нужно потратить очень много ресурсов

каких ещё ресурсов?
Ren©o писал(а):думаю даже за деньги не найдешь людей.

А ты предлагал, что так пишешь?)
P.S. мне говорят, что это уже полноценный бот нужен, одним скриптом не отделаться, хотя можно, но нагрузка на хаб будет, лучше или lua + клиент или отдельный бот.
Последний раз редактировалось Kimbo 09 дек 2012, 13:38, всего редактировалось 1 раз.

Ren©o
 
Сообщения: 56

Сообщение 09 дек 2012, 13:46

Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...
Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему. И прогер писать такой сервак ниодин месяц. Чего не логичного?
Последний раз редактировалось Ren©o 09 дек 2012, 13:47, всего редактировалось 1 раз.

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 09 дек 2012, 13:52

Ren©o писал(а):Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему.

*ROFL* *ROFL* *ROFL* *ROFL* какой сервер, ты о чём?)) Обычный грейлинк (к примеру) берёшь, пишешь скрипт на lua и всё, он сам всё будет делать, какой канал, а темболее мощный сервер и канал, ты о чём?)
Ren©o писал(а):Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...

да ладно, где? :-)

Ren©o
 
Сообщения: 56

Сообщение 09 дек 2012, 16:14

Kimbo, не собираюсь с вами спорить.
Быстрый ответ, вы недооцениваете масштабов задумки. На простом грейлинке и lua скрипте, как говорит Kimbo, такое не сделать, все повиснет и загнется. И потом чтобы был эффект, чистить надо все хабы, а не один, или запретить пользователям сидеть на нескольких хабах.

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 09 дек 2012, 16:45

Ren©o писал(а):запретить пользователям сидеть на нескольких хабах.

а это глупо.
а с троянами я боролся раньше "глупо", а точнее просто банил страны забугорных юзверей у которых эти трояны чаще всего в шаре находил, US, RO, FR, DE тип таких стран, чаще у румын и америкосов эти трояны сидят в шаре

Аватара пользователя
Emperio
 
Сообщения: 129

Сообщение 09 дек 2012, 19:07

Да, это глупо..., также глупо как и банить страны забугорных юзверей. Насколько я помню, тут были и другие подобные темы. Всё это выходит за рамки энтузиазма, а посему надо забить, по крайней мере до лучших времен

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 09 дек 2012, 19:28

Emperio писал(а):Да, это глупо..., также глупо как и банить страны забугорных юзверей.

ну да, потому я переделал из бана просто в запрет скачки и отдачи у забугорных юзверо-троянщиков, что бы не заходили к ни в шару и не качали)))

Mультик©™
 
Хаб: dchub://prime-hub.ru
 
Сообщения: 167
Хаб: dchub://prime-hub.ru

Сообщение 09 дек 2012, 21:00

А по поводу скрипта задумайся над тем что бы в поиске не выдавал расширения .exe и т.д. Это для начала. :-D

Mультик©™
 
Хаб: dchub://prime-hub.ru
 
Сообщения: 167
Хаб: dchub://prime-hub.ru

Сообщение 09 дек 2012, 21:08

Кстати, как то месяцев 7 назад пробовал сделать скрипт на основе антипорно по TTH, не стал возиться, пока забросил. :-)

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 09 дек 2012, 21:17

Быстрый ответ писал(а):TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

читал что ТС писал? :-)
Но форматы бывают разные, вот грей вообще чудными форматами пичкает "шару"
Последний раз редактировалось Kimbo 09 дек 2012, 21:19, всего редактировалось 1 раз.

Аватара пользователя
HackFresse
 
Сообщения: 507

Сообщение 10 дек 2012, 15:26

Снова из нормальной темы срач развели...
Теперь хочу услышать идеи, каким образом с ними бороться. Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально. Но мне, например, такое написать не по силам. Кто возьмется? *DRINK*


Как бороться? Я вижу тут варианта 2 - или банить (бесполезно?), или блочить файлообмен.
1) бот видит факт бана и меняет имя и IP, снова заходит на хаб, поиск и выдача бана повторяются.
2) бот остаётся висеть на хабе, но попытки соединения с ним заканчиваются неудачей - файл не скачивается. Но кроме самого файлообмена нужно запретить отвечать на поисковые запросы, различные имена файлов для того и нужны, чтобы названием своим завлекать юзера скачать какашку. Нету выдачи в результатах поиска - нету добавления в закачки - файл не скачивается.

Как найти таких вредителей, чтобы банить и блочить?
Вероятнее всего, это будут в основном иностранные незареганные юзеры.
Нужно сначала набрать некоторую статистику по самим вредным файлам и файл-листам, чтобы понять, как они генерятся. Если есть куча одинаковых ттх для разных по размеру и названию файлов - задача довольно сильно упростится.

На хабе можно делать только блокировку, все проверки - на вспомогательных серверах

Аватара пользователя
HackFresse
 
Сообщения: 507

Сообщение 10 дек 2012, 15:30

Идея блочить по списку ттх тут вряд-ли прокатит из-за большого количества этих самых вариантов файлов, список ников-IP будет ощутимо меньше

Аватара пользователя
HackFresse
 
Сообщения: 507

Сообщение 10 дек 2012, 15:31

Тут еще заодно стоит поднять тему про фейковую шару у грейлинка, что там было придумано и как борьба с фейкерами была (не) реализована

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 10 дек 2012, 16:35

как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко *CRAZY*

Аватара пользователя
dm
Администратор
 
Хаб: dchub://peerates.no-ip.org
 
Сообщения: 710
Откуда: Russia
Хаб: dchub://peerates.no-ip.org

Сообщение 10 дек 2012, 17:01

Тоже вчера заметил этих ботов с .exe-шками в шаре. Помню, такое раньше наблюдал в ослосети. Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен. *SCRATCH*

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 10 дек 2012, 17:07

dm писал(а):Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен.

ещё раз и по-подробней, как они могут следить юзерами у которых .ехе "фейк-троян" за чем либо? Это боты что ли, не люди живые?)

Мультикович
 
Сообщения: 8

Сообщение 10 дек 2012, 17:15

Я писал что антипорно переделывал, собирал TTH и не банил он по ним, может я мало ждал? А так это был бы самый простой способ. Собирал я их через каждые 50, получалось прилично, проверял у разных, повторялись.Не думаю что так просто будет искать и чистить от них шару ботоводам когда их бывает несколько тысяч.

Аватара пользователя
HackFresse
 
Сообщения: 507

Сообщение 10 дек 2012, 17:15

Еще можно понаблюдать за поисковыми запросами (поиск-шпион), там часто ботов заметить можно. Например, постоянные запросы на поиск doc, txt, xls
Второй вопрос, как этот самый вредный бот реализован.. Если просто тупо дц-клиент с "честной" шарой из вредных файлов - одно, но если более целенаправленное действие, то надо много думать

Мультикович
 
Сообщения: 8

Сообщение 10 дек 2012, 18:18

Kimbo писал(а):как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко

Ещё с десяток стран не хочешь... Далеко ты от этого ещё. Не все трояны...
Какой скрипт, не смеши, он ещё с того года есть. Писатель )
Последний раз редактировалось Мультикович 10 дек 2012, 18:21, всего редактировалось 1 раз.

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 10 дек 2012, 18:34

Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.

пруфлинк в студию.

Мультикович
 
Сообщения: 8

Сообщение 10 дек 2012, 18:40

Kimbo писал(а):Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.

Да легко, [url="http://mydc.ru/topic5132.html?hl=redirect"]вот[/url]. если захочешь, сделаешь что бы не редиректил а банил.
Мда - нормально ссылку даже нельзя скрыть...не путать с спойлером. Тогда так:
http://mydc.ru/topic5132.html?hl=redirect
Последний раз редактировалось Мультикович 10 дек 2012, 18:43, всего редактировалось 2 раз(а).

Аватара пользователя
Kimbo
 
Сообщения: 772

Сообщение 10 дек 2012, 19:05

спасибо что дал пруфлин на мой скрипт ;-)
Последний раз редактировалось Kimbo 10 дек 2012, 19:06, всего редактировалось 1 раз.

След.

Вернуться в Хаблист



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1