Методы борьбы с ботами - распространителями вирусов

[flylinkdc]

А про гигантский шаг хотя бы уникальный дц-клиент Peers3 и

Его кстати что-то на форуме сильно ругают почему-то.
хотя может привычка...

[slav]

Оффтоп...

Спойлер

Похоже, HackFresse зацепил всех... и админов и разрабов клиентов...
Профессионал.. Хорошая ловля...

[HackFresse]

Я не говорил, что он идеальный, я указал на то, что он уникальный.

Не очередной потомок древнего DC++ ( с перепиленным внешним видом стронг/грей/флай ), а что-то реально новое и необычное, с другими подходами к старым проблемам.

[RoLex]

На базе вашего скрипта, написал детектор для Verlihub.

Минимальные требования:

• Verlihub 1.0.0 RC1
• Lua library 5.1

Детектит не на 100%, бывали и ложные баны, 1 из 25. Потому добавил финальный список файлов где видно что трояны а что нет, его следует проверять переодически. Ложные баны попрошу отписывать мне вместе с логами, буду использовать их для исправлений.

[16:07:25] <# Feed> Infected user detected:

Nick: mirella2525
IP: 77.49.211.8.GR
Detected files:

1. moviesgamessoftware\Beatport Top 100 April (2012) 320KB TBS.exe | 1.66 MB
2. moviesgamessoftware\Beatport Top 100 April (2012).exe | 1.66 MB
3. moviesgamessoftware\Beatport TOP 100 Download April (2012).exe | 1.66 MB
4. moviesgamessoftware\Dance Hitlist Top 100 (2012).exe | 1.66 MB
5. moviesgamessoftware\Dubstep Top 100 May (2012).exe | 1.66 MB
6. moviesgamessoftware\A Big Cock For A Sexy Girl (2010).exe | 1.66 MB
7. moviesgamessoftware\College Girls Are Sexy (2013).exe | 1.66 MB
8. moviesgamessoftware\JTBP Jasmine Rain from College Girls Are Sexy.exe | 1.66 MB
9. moviesgamessoftware\Karolina and Honza - Student Party With Two Young Sexy Girls.exe | 1.66 MB
10. moviesgamessoftware\Playboys Sexy Summer Girls Danny Mathers Plus 22 Sun Kissed Hotties 2012.exe | 1.66 MB
11. moviesgamessoftware\133 Cool Desktop Wallpapers (Part 23).exe | 1.66 MB
12. moviesgamessoftware\Computer Desktop Wallpapers Collection. Part (632).exe | 1.66 MB
13. moviesgamessoftware\101 Windows Phone 7 Apps.exe | 1.66 MB
14. moviesgamessoftware\CBT Nuggets - 70-416 Implementing Desktop Application Environments Microsoft Windows Server 2012.exe | 1.66 MB
15. moviesgamessoftware\Cbt Nuggets Windows 7 Enterprise Desktop Support Technician 70-685.exe | 1.66 MB
16. moviesgamessoftware\CBT Nuggets Windows Server 2008 Server Administrator 70-646.exe | 1.66 MB
17. moviesgamessoftware\Exam 70-411 Administering Windows Server 2012.exe | 1.66 MB
18. moviesgamessoftware\AJ Applegate - Its Okay Shes My Stepdaughter.exe | 1.66 MB
19. moviesgamessoftware\Apple Aperture 3.4.5 (Mac OSX).exe | 1.66 MB
20. moviesgamessoftware\Apple Aperture v3.1.1 Update v3.4.4 (Mac OS X).exe | 1.66 MB
21. moviesgamessoftware\Apple Aperture v3.1.1 Update v3.4.4 (Mac OSX).exe | 1.66 MB
22. moviesgamessoftware\Apple Aperture v3.4.5 (Mac).exe | 1.66 MB
23. moviesgamessoftware\[MULTI] Microsoft Flight Simulator X Acceleration Expansion.exe | 1.66 MB
24. moviesgamessoftware\AppDev Microsoft .NET SharePoint 2010 for Developers Volume 2.exe | 1.66 MB
25. moviesgamessoftware\Beginning Microsoft SQL Server 2012 Programming.exe | 1.66 MB
26. moviesgamessoftware\Business Intelligence in Microsoft SharePoint 2010.exe | 1.66 MB
27. moviesgamessoftware\Business Intelligence mit Microsoft SharePoint 2010 for Site Owners (2013).exe | 1.66 MB
28. moviesgamessoftware\101 Windows Phone 7 Apps.exe | 1.66 MB
29. moviesgamessoftware\[Pluralsight- training] Building Windows 8 Metro Apps with C # and XAML.exe | 1.66 MB
30. moviesgamessoftware\Adobe CS6 Master Collection (Windows).exe | 1.66 MB

[16:07:25] <# Feed> [03] mirella2525 with IP 77.49.211.8 and class 0 kicked: <# TE> Virus spreader _ban_

[16:09:24] <# Feed> Infected user detected:

Nick: gamerloon94
IP: 186.214.161.113.BR
Detected files:

1. New folder\Top 100 Windows Tools Ultility 07.2012.zip | 628.03 KB
2. New folder\28 Best Windows 7 Themes Collection.zip | 628.02 KB
3. New folder\CBT Nuggets- Microsoft Windows Server 2012 70-413.zip | 628.05 KB
4. New folder\Collection Of Themes For Windows 7.zip | 628.02 KB
5. New folder\DriverPacks for Windows 200 XP 2003 Vista 7.zip | 628.04 KB
6. New folder\DriverPacks for Windows 2000 XP 2003 Vista 7 25.zip | 628.04 KB
7. New folder\Apple Aperture V3.3 Mac Osx.zip | 628.01 KB
8. New folder\Apple Compressor 4.0.6 Mac Osx.zip | 628.01 KB
9. New folder\Apple Compressor v4.0.6 Mac OSX.zip | 628.01 KB
10. New folder\Apple Final Cut Pro X 10.0 Content X86x64 ISOWin.zip | 628.05 KB
11. New folder\Apple Final Cut Pro X 10.0.9 Mac OSX.zip | 628.02 KB
12. New folder\Microsoft Windows 8.exe.zip | 627.99 KB
13. New folder\CBT Nuggets- Microsoft Windows Server 2012 70-413.zip | 628.05 KB
14. New folder\Microsoft AutoRoute 2011.zip | 628.00 KB
15. New folder\Microsoft Autoroute Euro 2013.zip | 628.01 KB
16. New folder\Microsoft Desktop Optimization Pack 2012.zip | 628.03 KB
17. New folder\Microsoft Dynamics AX 2012.zip | 628.00 KB
18. New folder\Microsoft Windows 8.exe.zip | 627.99 KB
19. New folder\Windows 8.exe.zip | 627.97 KB
20. New folder\28 Best Windows 7 Themes Collection.zip | 628.02 KB
21. New folder\Ableton Live 9 Suite 9.0.5 WindowsMacOSX.zip | 628.03 KB
22. New folder\Activator For Windows 8 and Office 2010 2013 Mega P.zip | 628.05 KB
23. New folder\Adobe Master Collection CS6 LS16 FINAL WINDOWS.zip | 628.04 KB
24. New folder\AudioMulch 2.2.3 WindowsMacOSX.zip | 628.01 KB
25. New folder\Adobe Acrobat XI Pro v11.0.exe.zip | 628.00 KB
26. New folder\Adobe After Effects CS5.exe.zip | 628.00 KB
27. New folder\Adobe Captivate 6.0.exe.zip | 627.99 KB
28. New folder\Adobe Creative Suite 6.exe.zip | 628.00 KB
29. New folder\Adobe Dreamweaver CS5.exe.zip | 627.99 KB
30. New folder\100 Best Adobe Photoshop Plugins 2012.zip | 628.03 KB

[16:09:24] <# Feed> [03] gamerloon94 with IP 186.214.161.113 and class 0 kicked: <# TE> Virus spreader _ban_

[16:17:54] <# Feed> Infected user detected:

Nick: akaswizzssss
IP: 89.45.12.62.RO
Detected files:

1. torrents\Billboard Top 100 Songs of 2012.exe | 296.59 KB
2. torrents\Driverpacks For Windows 200 Xp 2003 Vista 7.exe | 296.59 KB
3. torrents\Genuine For Windows 8 Build 7850 V1.0.exe | 296.52 KB
4. torrents\Kmsmicro V.4.0 For Windows 7 8.exe | 296.54 KB
5. torrents\Mac 7 Windows 7 Ultimate x64 By Prince Nrvl.exe | 296.57 KB
6. torrents\Microsoft Windows 7 OEM SP1 x86x64.exe | 296.53 KB
7. torrents\Apple Aperture V3.3 Mac Osx.exe | 296.57 KB
8. torrents\Apple Compressor 4.0.6 Mac Osx.exe | 296.56 KB
9. torrents\Apple Final Cut Pro X 10.0.9 Mac OSX.exe | 296.57 KB
10. torrents\Apple Final Cut Pro X 10.0.9 with Content Mac OSX.exe | 296.59 KB
11. torrents\Apple Final Cut Pro X v10.0.8 Mac OSX.exe | 296.59 KB
12. torrents\Microsoft Dynamics GP 2010 SP4.exe | 296.58 KB
13. torrents\Microsoft KMS Activator AIO V25.08.2013.exe | 296.59 KB
14. torrents\Microsoft Office 2010 v14.0.4734.1000 Pro Plus.exe | 296.56 KB
15. torrents\Microsoft Office 2013 Professional Plus Consumer Pre.exe | 296.53 KB
16. torrents\Microsoft Office 2013 Professional Plus Original MSD.exe | 296.60 KB
17. torrents\Anthemion Software Jutoh 1.65 Windows Macosx.exe | 296.51 KB
18. torrents\Autodesk Maya 2012 Service Pack 2 Windows Osx Linux.exe | 296.59 KB
19. torrents\AutoMapa 6.12 RC EU 2013ML Windows Mobile Windo.exe | 296.60 KB
20. torrents\Bitdefender Windows 8 Security 2013 Trail Reset.exe | 296.57 KB
21. torrents\Digidna Diskaid 5.42 Windows Macosx.exe | 296.58 KB
22. torrents\100 Best Adobe Photoshop Plugins 2012.exe | 296.54 KB
23. torrents\Adobe Acrobat Pro Xi V11.0.0.379.exe | 296.57 KB
24. torrents\Adobe Acrobat X Pro 10.1.3 Mac Osx.exe | 296.59 KB
25. torrents\Adobe Acrobat X Pro V10.1.4 English French German.exe | 296.57 KB
26. torrents\Adobe Acrobat XI Pro 11.0.4.exe | 296.60 KB
27. torrents\Masters of Sex S01E04.exe | 296.54 KB
28. torrents\My Awkward Sexual Adventure 2012.exe | 296.54 KB
29. torrents\My Awkward Sexual Adventure 2013.exe | 296.59 KB
30. torrents\Q Sexual Desire 2011 720p.exe | 296.59 KB

[16:17:54] <# Feed> [03] akaswizzssss with IP 89.45.12.62 and class 0 kicked: <# TE> Virus spreader _ban_

Также имеется дополнительная инфа в процессе, довольно много флуда, потому conf.logs по умолчанию на 1 ступени.

[15:44:16] <# Feed> Ponential infected user detected:

Nick: aleeenast
IP: 91.240.65.9.SE
Used size: 444.33 KB
First file: Share\Billboard Top 100 of (2010).exe

[15:44:16] <# Feed> Ponential infected user detected:

Nick: akaswizzssss
IP: 89.45.12.62.RO
Used size: 296.59 KB
First file: torrents\Billboard Top 100 Songs of 2012.exe

[15:44:16] <# Feed> Ponential infected user detected:

Nick: mirella2525
IP: 77.49.211.8.GR
Used size: 1.66 MB
First file: moviesgamessoftware\Beatport Top 100 April (2012) 320KB TBS.exe

[15:47:11] <# Feed> Ponential infected user logged out:

Nick: ryanm6520
IP: 203.88.154.210.IN
Detected files: 5
Used size: 584.32 KB
Last file: software\Billboard Top 100 Hits 1982 Crack.exe

[15:48:46] <# Feed> Ponential infected user detected:

Nick: aleeenast
IP: 91.240.65.9.SE
Detected files: 15
Used size: 444.35 KB
Last file: Share\Computer Desktop Wallpaper 5.exe

[15:51:16] <# Feed> Ponential infected user detected:

Nick: psaltisith33
IP: 84.161.182.249.DE
Detected files: 15
Used size: 778.78 KB
Last file: Programm\600 Sexy Bikini and Lingerie Girls Full HD Wallpapers 1920 X 108.rar

Если есть идеи, баги и т.д, пожалуйста пишите, будет исправлено, добавлено, улучшено.

Последняя версия скрипта всегда тут: http://ledo.feardc.net/other/antivirus.lua

[HackFresse]

Ого какие люди подтягиваются

Идея - формировать и выгружать список на какой-нибудь внешний ресурс, где проводить простую обработку данных от разных хабов.
Т.е. если выскочил детект скриптом локально - проверить, засветился ли этот ник/IP/порт на других хабах.
Если да - выше вероятность, что детект не был ложным срабатыванием

Формировать общий список банов, так сказать..

[RoLex]

Идея хорошая. Я могу добавить список детектов с моего хаба в виде текстового файла для паблик загрузки через HTTP. В таком случае надо придумать формат файла, рекомендация:

Код: Выделить всё

<nick>|<ip>|<exact share in bytes>|<date:xx-xx-xx> <time:xx:xx:xx>

Незнаю, дата обязательно?

[flylinkdc]

если боты будут часто менять ники -ip -размер шары. какой план?

[RoLex]

Думаю скрипты будут также часто детектить новых ботов. Дата в банлисте очень даже кстати в этом случае, список можно чистить, скажем раз в 2 недели. В таком случае дату лучше в формате Unix timestamp.

Могу предложить паблик банлист с удаленным добавлением, но вопрос: Как добавлять?

Будь я недругом этого проэкта, я бы заставил бота добавить туда миллион новых банов, реальных и не реальных.

[flylinkdc]

Пока не понял как это работает со стороны клиента
предлагайте алгоритм.
со стороны флайлинка - будет поддержка 100%

[HackFresse]

Дата нужна обязательно.
адрес хаба со срабатыванием,
nick бота,
ip бота,
список стоп-слов, на которые он отозвался (из секции настроек скрипта). на разных хабах могут быть разные условия, по которым банить
список из Detected files (тут уже непонятно, нужно ли оно. просто дополнить информацию из пункта выше)

Давать возможность добавлять "только своим", выставить лимиты на добавление. это самая простая часть

[RoLex]

Не думаю что для клиента это полезно если в нем нет такой функции - детектить ботов с вирусами. Можно лишь использовать паблик банлист в режиме чтения как юзер, например добавления чужих банов себе на хаб, если ты овнер или оп на хабе, и если етого тебе хочется. Хотя если существует база WHOIS, почему не добавить похожую команду в клиент для проверки наличия ника, ипа или шары в общих банах. Но опять же - не особо полезно для обычных юзеров.

О добавлении банов. Пускай это будет POST метод с параметрами через HTTP. Должен ли я кому угодно позволить добавить новый бан себе в список? Если так то это проблема, как я уже говорил - засру список так что придется весь стирать, после чего еще раз засру. В таком случае есть вариант - только по разрешенным ипам допуск к добавлению. Есть еще варианты?

[andruw]

У серваков контры на SM был точно такой же глобальный список банов. В конечном итоге игроки на таких серваках банили друг друга. А бан обойти проще простого, список постепенно переполнился. После этого все поняли что бан - не решение проблемы и надо в реалтайме не позволять игроку нарушать правила. Все параметры, по которым вы можете забанить - ip, ник, размер шары, размер файла, tth файла - меняются за секунды. Сейчас можно без особых проблем купить несколько десятков динамических ипов, и у копирастров на такое дело деньги точно найдутся. Бот может не выкладывать вирус в список файлов и не выдавать его в поисковом запросе, который содержет ip из подсети хаба. Он вообще может избирательно отвечать только на определенные поисковые запросы - и сдетектить его будет не возможно. За предложенной вами системой надо постоянно следить. Вы сейчас уверены что сможете каждый день тратить время на её модерацию, но по моему опыту без стимула вы перестанете это делать уже через пару недель и пустите всё на самотек. Вообще в современном интернете пора забыть про баны, бан тождественен кику.
Сейчас думаю надо сделать простое предупреждение при закачке файла с расширением exe, rar, zip и т.д. с сообщением что файл может содержать вирус и пускай пользователь сам решает, может ему вирус и нужен. Вы что, правительство РФ, чтобы решать что людям можно, а что нет? Может Роскомнадзор сразу привлечем?, у них ведь уже есть успехи в этом деле! Я не говорю что вирусы это хорошо, это однозначно плохо. Я говорю что в вашей системе возможно как ситуация ложного срабатывания, так и ошибки со стороны пользователя, из-за чего он в нужный момент кому-то не сможет передать на хабе файл.

[Damaks]

Если необходимо собрать базу чего-то запрещенного для последующего использования, то наиболее безопасным вариантом был бы ограниченный доступ к её пополнению. Подробнее.

Основная не техническая проблема - вредительство. Если будет возможность добавлять всем, то, как уже выше написано, в базу будут добавлять "мусорные" файлы, хотя скорее наоборот реальные "полезные" файлы - новинки кино к примеру, т.к. бан за них будет более обиден для пользователей, а файлы эти самые распространённые. Отличный способ дискредитировать идею. Соответственно нужно будет предоставлять доступ на добавление либо просто по ip, либо с авторизацией, принцип реализации уже другой вопрос.

Второй вопрос, кому давать доступ к обслуживанию базы? Т.к. демократический метод здесь не подходит по описанной выше причине, необходимо действовать по-другому. Вот как я представляю организацию этого процесса.

Всегда есть координатор, от которого исходит инициатива или который её потом перехватил. Вокруг него формируется небольшая группа единомышленников (помощников). В этой группе только проверенные люди, попасть в неё сложно. Размер этой группы тоже крайне ограничен, 5 человек вполне достаточно. Задача этой группы сводится к 2 основным целям:

1) Разработка или модернизация существующего метода обнаружения, сбора, фильтрации базы и способов наказания нарушителей (технической, как конкретно, уже сами хабы решают, бан, запрет на вход, запрет на отдачу и т.п., нужно предоставить возможность выбора). Группа сама полностью контролирует базу, сама вносит изменения на своё усмотрение без обязательных согласований с кем-то.

2) Переговоры с админами хабов. Для пополнения базы необходима договорённость с проверенными хабами. Возможно, в группе будут участники со своими хабами. Но в любом случае необходимо договариваться и с другими хабами, время от времени менять их состав, т.к. злоумышленник может через какое-то время определить, на каких хабах ведется мониторинг. По этой же причине необходимо скрывать информацию, кто сотрудничает с проектом. Количество хабов-доноров должно быть также небольшим.
Также необходимо продвигать проект среди админов для пополнения количества хабов, где будет проводится "чистка" пользователей. Это как пассивное привлечение, через соответствующие темы, публикацию скриптов, добавления функционала в скрипты "всё в одном", так и активное, самим связываться с админами и предлагать сотрудничество. Все скрипты для хаба должны быть общедоступными.

Если суммировать всё вышесказанное, то проект будет успешным только при активном продвижении. При этом сам проект всё равно будет зависеть от доверия к нему со стороны админов, т.к. они не имеют прямой возможности влиять на него, могут лишь пользоваться его сервисом. Скомпрометировать проект легко, нужно иметь и поддерживать авторитет.

В общем, нужен "заводила", группа единомышленников, несколько хабов-доноров, активное привлечение. Каким образом в этот процесс войдут разработчики клиентов, лучше узнать у них. Т.к. помимо фильтра со стороны хаба фильтрация со стороны клиента повысила бы эффективность и добавила авторитета.

[andruw]

в базу будут добавлять "мусорные" файлы, хотя скорее наоборот реальные "полезные" файлы - новинки кино к примеру

Вот по файлам банить точно бессмысленно. Файлы боты могут генерировать на лету под каждый поисковый запрос и запрос на закачку. Идея с банами абсолютно нецелесообразна. Основная цель - децентрализация. Нужно чтобы только конечные пользователи принимали решение. А администраторы хабов и разработчики клиентов максимум что могут/должны - разработать инструмент, помогающий пользователям делать правильный выбор. Поэтому если вы всётаки хотите вести базу недобросовестных клиентов - то не надо их банить, надо только сообщать пользователям, качающим с них, что они вероятно распространители вирусов. А пользователи уже пускай сами решают.

[RoLex]

Вы сейчас уверены что сможете каждый день тратить время на её модерацию, но по моему опыту без стимула вы перестанете это делать уже через пару недель и пустите всё на самотек.

Смысл был сделать ее автономной, никакой ручной модерации, по крайней мере с моей стороны.

Тем более, вы залезли слишком глубоко. Насколько я понял было задумано сделать такой банлист только для целей подтверждения того что детект не ложный, т.е один результат - хорошо, а два - сто пудов. Хотя и тут можно придраться, если скрипты работают одинаково, то оба наверняка словят ложный детект.

Вообще, лично мне нет дела до других хабов, ловят там троянщиков, банят ли их, публикуют ли баны. Все заключается в дополнительной помощи другим админам, потому предлогаю сделать каждому свой личный банлист, если админу это нужно. Текстфайл который будет доступен в паблик через HTTP, FTP или другие протоколы, хранящий стандартный формат банов как было указано выше. Каким образом он будет редактироваться - админ решает сам, у меня например автономно. В свою очередь список всех опубликованных банлистов можно собирать в этом же самом топике, либо другом доступном для всех месте. А дальше уже пускай каждый сам решает, тянуть ему чужие баны или нет, и что с ними в итоге делать, сразу поставить у себя на хабе, либо использовать только для подтверждения детекта.

И для красивой концовки. Практически полностью переписал свой антивирус для Verlihub, скрипт детектил всю ночь на 3-х хабах включая Allavtovo.ru, ни единого разрыва, точнее ни одного ложного детекта до сих пор. Вся фишка в папке с вирусами - скрипт ищет 30 совпадающих файлов в одной папке, не в разных, как было раньше. Ну и еще мелочи как give up - чистит список поисковых результатов время от времени, ибо можно собрать миллион бестолковых файлов от "невирусных" юзеров.

[Быстрый ответ]

Добавил версию для Verlihub в заглавный пост. Там же немного исправленный вариант для PtokaX.

[RoLex]

Добавил версию для Verlihub в заглавный пост. Там же немного исправленный вариант для PtokaX.

Это наверное зря, только что обновил версию до 0.5. Советую просто оставить мою ссылку на скрипт, он там всегда последней версии.

Зы, главное изменение в 0.5 - это рассылка поисковых запросов только юзерам с шарой выше нуля, думаю пригодится.

Еще зы, скрипт отработал на Allavtovo.ru более суток, в общем забанил 62 троянщиков, ложных детектов нет, как и ненайденных троянщиков. Можно пить пиво.

[flylinkdc]

Советую просто оставить мою ссылку на скрипт, он там всегда последней версии.

может лучше зальешь на github ?

[andruw]

это рассылка поисковых запросов только юзерам с шарой выше нуля, думаю пригодится.

Боту ничего не стоит выдавать размер шары 0. На хабах автоматически не проходят соединения с пользователями с нулевой шарой? Или с них всеравно можно качать?

[RoLex]

@ andruw

Какраз об этом думал вчера когда писал новый код. Значит ты видел такую картину когда бот на самом деле шарит и отвечает на поисковые запросы но шлет нулевую шару? В таком случае я добавлю блокировку коннектов и поисковых запросов если у юзера нулевая шара в Verlihub. Можно считать это читом, верно ведь?

[RoLex]

RoLex писал(а):Советую просто оставить мою ссылку на скрипт, он там всегда последней версии.
может лучше зальешь на github ?

Как скажешь, добавил новую репозиторию https://github.com/verlihub/lua_scripts-1.0.0.

[HackFresse]

А можно чуть уменьшить уровень вложенности?

Спойлер

Код: Выделить всё

if *
		for *
			for *
				if *
					if *
						if *
							if *
								if *
									if *
										if *
											if *
												for *

[andruw]

Значит ты видел такую картину когда бот на самом деле шарит и отвечает на поисковые запросы но шлет нулевую шару?

Не видел, просто пытаюсь осмыслить все варианты. Если я до этого додумался - создатель бота додумается подавно.

Можно считать это читом, верно ведь?

Пользователь при расшаривании шлет новый размер шары не с каждым новым файлом, а с определенной периадичностью, точно не знаю какой. Поэтому вариант отдачи файлов и ответов на поисковые запросы с нулевой шарой вполне возможен и от обычных пользователей.

[RoLex]

А можно чуть уменьшить уровень вложенности?

Приведи пример.

@ andruw

Логично, все верно говоришь. Верну рассылку всем.

[HackFresse]

Разбивать на подфункции, инициировать возврат до помещения большого числа строк внутрь блока логического оператора

Сам-то я LUA не знаю (могу тока критиковать, ага ), но мне как новичку было бы легче читать и понять что-то вроде

Спойлер

Код: Выделить всё

function VH_OnParsedMsgSR (nick, data)
  local ok, class = VH:GetUserClass (nick)

  if not ok or class >= conf.skip then
    return 1
  end

  local ok, _, path, name, size = data:find ("^%$SR [^ ]+ (.-)([^\\]-)" .. string.char (5) .. "(%d+) .+")

  if not(ok and path and name and size and # path > 0 and # name > 0 and tonumber (size) > 0) then
    return 1
  end

local fileExt= .... 

  if(validateExt(fileExt) and validateName(name)) then
    
    addToSets(nick,path,name,size)

    if getitem (sets.user [nick][path]) >= conf.find then

      sendAlertMessage(nick,path)

      VH:KickUser (sets.from, nick, conf.kick)

      sets.user [nick] = nil
      return 0
    end

  end

  return 1
end -- /VH_OnParsedMsgSR


function validateExt(fileExt)
   for _, ext in pairs (conf.exts) do
        if(fileExt == ext) then 
            return 1
        end
   end
   return 0
end

function validateName(name)

         if (name:lower ():find ("%.part%d+%.rar$")) then
              return false
          end

         -- проверка по циклу на составные части

      return 0
end




function addToSets(nick,path,name,size)
  if sets.user [nick] then
    if sets.user [nick][path] then
      if not sets.user [nick][path][name] then
        if math.abs (sets.user [nick][path][""] - tonumber (size)) <= conf.diff then
          sets.user [nick][path][name] = tonumber (size)

        end
      end

      sets.user [nick][path][""] = tonumber (size)
    else
      sets.user [nick][path] = {
        [""] = tonumber (size),
        [name] = tonumber (size)
      }
    end
  else
    sets.user [nick] = {
      [""] = os.time (),
      [path] = {
        [""] = tonumber (size),
        [name] = tonumber (size)
      }
    }
  end

end -- /addToSets



function sendAlertMessage(nick,path)
  if conf.verb == 2 then
    local feed, list = "", ""

    for fame, fize in pairs (sets.user [nick][path]) do
      if # fame > 0 then
        list = list .. " " .. path .. fame .. " | " .. getsize (fize) .. "\r\n"
      end
    end

    list = list:gsub ("%$", "&#36;")
    list = list:gsub ("|", "&#124;")

    feed = "Infected user detected:\r\n\r\n"
    feed = feed .. " Nick: " .. nick .. "\r\n"
    feed = feed .. " IP: " .. getaddr (nick) .. "\r\n"
    feed = feed .. " Found files:\r\n\r\n"
    feed = feed .. list

    VH:SendPMToAll (feed, sets.feed, conf.feed, 10)
  elseif conf.verb == 1 then
    VH:SendPMToAll ("Infected user detected with IP " .. getaddr (nick) .. ": " .. nick, sets.feed, conf.feed, 10)
  end
end -- /sendAlertMessage

Циклов будет точно меньше, проще расширять, видно, какой end от какого оператора.

Расширения файлов можно сразу в конфиге записать в виде регулярки, будет только одна проверка.

Проверять сначала расширение, а только потом совпадение по частям в имени файла - у расширений меньше вариантов, если оно не подошло - смысла гонять циклы по имени файла вообще нету.

Добавление в sets надо дополнительно проверить, при переборе всех conf.file в цикле может проскочить повторное добавление, если один файл назван как "windows ключи активации (для поиска serial keygen patch).zip". Т.е. заносить поисковый ответ в таблицу при первом совпадении из списка, один поисковый ответ - одна запись в таблице срабатываний