Методы борьбы с ботами - распространителями вирусов

Общение админов хабов и их юзеров.
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Методы борьбы с ботами - распространителями вирусов

Сообщение Быстрый ответ »

Суть проблемы ясна из этих скриншотов:
Спойлер
ИзображениеИзображениеИзображение
Изображение
Пояснения.

Как видите, расшаривается большое количество файлов, 30 - 50 тысяч, со всякими завлекающими именами, чтобы проще было найти. TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

Чтобы не было лишних сомнений - такие боты представлены на всех крупных хабах. Не верите - проверьте. (а также посмотрите последний скриншот)
Думаю, излишне говорить, что такие вещи сильно бьют по всей системе DC++, так как ничего не подозревающие хомячки скачивают эти трояны и становятся частью ботнета, или у них крадут пароли и т.д. и т.п.

Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально.

Ну и наконец, не прошло и года, как мы изготовили скрипт для борьбы с этой заразой, вам остается только скачать и запустить
Скрипт "Anti Fake-bot" для PtokaX, автор Быстрый ответ, во вложении внизу.

Скрипт "Ledokol" для Verlihub by RoLex: Здесь
Или здесь
Описание AVDB by RoLex: Прочитать
Вложения
antifake.lua
(7.78 КБ) 421 скачивание
Последний раз редактировалось Быстрый ответ 02 апр 2017, 13:59, всего редактировалось 16 раз.
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

Быстрый ответ писал(а):Это могут быть exe, а могут быть и архивы - zip, rar и т.д.
запрещай сидеть с шарой из одних этих файлов *CRAZY*
если у юзера % этих файлов превышает в шаре, то на йух их посылай "Fuck you troyan luZer *TROLL* "
Последний раз редактировалось Kimbo 08 дек 2012, 17:23, всего редактировалось 1 раз.
Ren©o
Сообщения: 56
Зарегистрирован: 15 май 2010, 22:51

Сообщение Ren©o »

Быстрый ответ, думаю даже за деньги не найдешь людей. Нужно потратить очень много ресурсов, а выхлопа как бы вообще не будет. Пользователям нужно - пускай они эти и занимаются, логично?
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

Ren©o писал(а):логично?
нет!
Ren©o писал(а):Нужно потратить очень много ресурсов
каких ещё ресурсов?
Ren©o писал(а):думаю даже за деньги не найдешь людей.
А ты предлагал, что так пишешь?)
P.S. мне говорят, что это уже полноценный бот нужен, одним скриптом не отделаться, хотя можно, но нагрузка на хаб будет, лучше или lua + клиент или отдельный бот.
Последний раз редактировалось Kimbo 09 дек 2012, 13:38, всего редактировалось 1 раз.
Ren©o
Сообщения: 56
Зарегистрирован: 15 май 2010, 22:51

Сообщение Ren©o »

Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...
Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему. И прогер писать такой сервак ниодин месяц. Чего не логичного?
Последний раз редактировалось Ren©o 09 дек 2012, 13:47, всего редактировалось 1 раз.
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

Ren©o писал(а):Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему.
*ROFL* *ROFL* *ROFL* *ROFL* какой сервер, ты о чём?)) Обычный грейлинк (к примеру) берёшь, пишешь скрипт на lua и всё, он сам всё будет делать, какой канал, а темболее мощный сервер и канал, ты о чём?)
Ren©o писал(а):Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...
да ладно, где? :-)
Ren©o
Сообщения: 56
Зарегистрирован: 15 май 2010, 22:51

Сообщение Ren©o »

Kimbo, не собираюсь с вами спорить.
Быстрый ответ, вы недооцениваете масштабов задумки. На простом грейлинке и lua скрипте, как говорит Kimbo, такое не сделать, все повиснет и загнется. И потом чтобы был эффект, чистить надо все хабы, а не один, или запретить пользователям сидеть на нескольких хабах.
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

Ren©o писал(а):запретить пользователям сидеть на нескольких хабах.
а это глупо.
а с троянами я боролся раньше "глупо", а точнее просто банил страны забугорных юзверей у которых эти трояны чаще всего в шаре находил, US, RO, FR, DE тип таких стран, чаще у румын и америкосов эти трояны сидят в шаре
Аватара пользователя
Emperio
Сообщения: 129
Зарегистрирован: 08 апр 2012, 19:49

Сообщение Emperio »

Да, это глупо..., также глупо как и банить страны забугорных юзверей. Насколько я помню, тут были и другие подобные темы. Всё это выходит за рамки энтузиазма, а посему надо забить, по крайней мере до лучших времен
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

Emperio писал(а):Да, это глупо..., также глупо как и банить страны забугорных юзверей.
ну да, потому я переделал из бана просто в запрет скачки и отдачи у забугорных юзверо-троянщиков, что бы не заходили к ни в шару и не качали)))
Mультик©™
Сообщения: 167
Зарегистрирован: 22 мар 2012, 01:15
Хаб: dchub://prime-hub.ru

Сообщение Mультик©™ »

А по поводу скрипта задумайся над тем что бы в поиске не выдавал расширения .exe и т.д. Это для начала. :-D
Mультик©™
Сообщения: 167
Зарегистрирован: 22 мар 2012, 01:15
Хаб: dchub://prime-hub.ru

Сообщение Mультик©™ »

Кстати, как то месяцев 7 назад пробовал сделать скрипт на основе антипорно по TTH, не стал возиться, пока забросил. :-)
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

Быстрый ответ писал(а):TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.
читал что ТС писал? :-)
Но форматы бывают разные, вот грей вообще чудными форматами пичкает "шару"
Последний раз редактировалось Kimbo 09 дек 2012, 21:19, всего редактировалось 1 раз.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Снова из нормальной темы срач развели...
Теперь хочу услышать идеи, каким образом с ними бороться. Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально. Но мне, например, такое написать не по силам. Кто возьмется? *DRINK*
Как бороться? Я вижу тут варианта 2 - или банить (бесполезно?), или блочить файлообмен.
1) бот видит факт бана и меняет имя и IP, снова заходит на хаб, поиск и выдача бана повторяются.
2) бот остаётся висеть на хабе, но попытки соединения с ним заканчиваются неудачей - файл не скачивается. Но кроме самого файлообмена нужно запретить отвечать на поисковые запросы, различные имена файлов для того и нужны, чтобы названием своим завлекать юзера скачать какашку. Нету выдачи в результатах поиска - нету добавления в закачки - файл не скачивается.

Как найти таких вредителей, чтобы банить и блочить?
Вероятнее всего, это будут в основном иностранные незареганные юзеры.
Нужно сначала набрать некоторую статистику по самим вредным файлам и файл-листам, чтобы понять, как они генерятся. Если есть куча одинаковых ттх для разных по размеру и названию файлов - задача довольно сильно упростится.

На хабе можно делать только блокировку, все проверки - на вспомогательных серверах
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Идея блочить по списку ттх тут вряд-ли прокатит из-за большого количества этих самых вариантов файлов, список ников-IP будет ощутимо меньше
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Тут еще заодно стоит поднять тему про фейковую шару у грейлинка, что там было придумано и как борьба с фейкерами была (не) реализована
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко *CRAZY*
Аватара пользователя
dm
Администратор
Сообщения: 710
Зарегистрирован: 23 авг 2009, 18:06
Хаб: dchub://peerates.no-ip.org
Откуда: Russia
Контактная информация:

Сообщение dm »

Тоже вчера заметил этих ботов с .exe-шками в шаре. Помню, такое раньше наблюдал в ослосети. Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен. *SCRATCH*
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

dm писал(а):Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен.
ещё раз и по-подробней, как они могут следить юзерами у которых .ехе "фейк-троян" за чем либо? Это боты что ли, не люди живые?)
Мультикович
Сообщения: 8
Зарегистрирован: 10 дек 2012, 17:11

Сообщение Мультикович »

Я писал что антипорно переделывал, собирал TTH и не банил он по ним, может я мало ждал? А так это был бы самый простой способ. Собирал я их через каждые 50, получалось прилично, проверял у разных, повторялись.Не думаю что так просто будет искать и чистить от них шару ботоводам когда их бывает несколько тысяч.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Еще можно понаблюдать за поисковыми запросами (поиск-шпион), там часто ботов заметить можно. Например, постоянные запросы на поиск doc, txt, xls
Второй вопрос, как этот самый вредный бот реализован.. Если просто тупо дц-клиент с "честной" шарой из вредных файлов - одно, но если более целенаправленное действие, то надо много думать
Мультикович
Сообщения: 8
Зарегистрирован: 10 дек 2012, 17:11

Сообщение Мультикович »

Kimbo писал(а):как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко
Ещё с десяток стран не хочешь... Далеко ты от этого ещё. Не все трояны...
Какой скрипт, не смеши, он ещё с того года есть. Писатель )
Последний раз редактировалось Мультикович 10 дек 2012, 18:21, всего редактировалось 1 раз.
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.
Мультикович
Сообщения: 8
Зарегистрирован: 10 дек 2012, 17:11

Сообщение Мультикович »

Kimbo писал(а):Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.
Да легко, вот. если захочешь, сделаешь что бы не редиректил а банил.
Мда - нормально ссылку даже нельзя скрыть...не путать с спойлером. Тогда так:
http://mydc.ru/topic5132.html?hl=redirect
Последний раз редактировалось Мультикович 10 дек 2012, 18:43, всего редактировалось 2 раза.
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

спасибо что дал пруфлин на мой скрипт ;-)
Последний раз редактировалось Kimbo 10 дек 2012, 19:06, всего редактировалось 1 раз.
Ответить