Методы борьбы с ботами - распространителями вирусов

[Emperio]

На AllAvtovo сегодня очень много запросов:

m4a.exe
.m4r.exe
.wav.exe
.mp4.exe
.rm.exe
.mpg.exe
.mov.exe
.mp3.exe
.flv.exe
.m4v.exe
.wmv.exe
.avi.exe
.rmvb.exe
.jpg.exe
.mkv.exe

[HackFresse]

т.е. кто-то ищет двойные расширения, которые обычно наблюдаются у зловредов. интересно, кто и зачем ?

и да, как там прогресс в борьбе с заразой? есть вести с фронтов?

[dm]

Мне кажется самым действенным способом будет сбор IP адресов зловредов и фильтр по ним на хабах. Можно не изобретать велосипед и воспользоваться опытом файлообменной сети eDonkey (eMule), там существовала подобная проблема, но несколько в ином ключе. Копирасты США выкладывали свежие фильмы (фейки) смотрели кто их качает, вычисляли по IP человека и арестовывали. Для борьбы с копирастами сообщество емула решило зафильтровать всех копирастов от качающих юзеров, собрав все диапазоны IP адресов копирастов в один файл (ipfilter). Потом появилась проблема фейковых файлов в результатах поиска, ровно как сейчас в дц, этим, как я понял, так же занимались копирасты. Плюс ко всему защитники авторского права создавали подставные eMule сервера, при подключении к которым юзеры получали фейковые результаты поиска почти по любым запросам, даже по легальным. Это было сделано, чтобы дискредитировать файлообмен в eDonkey, т.к официально сеть была закрыта и не имела хозяев. Для решения этой проблемы сделали фильтр ещё и серверов, создавая так называемый "белый список серверов". К примеру здесь проверенные сервера http://www.gruk.org/list

Для более подробного изучения вопроса советую посетить сайт http://www.emule-security.org/ тут лежат ип-фильтры (http://upd.emule-security.org/ipfilter.zip), которые до сих под регулярно обновляются. Может емуловские фильтры отфильтруют и наших зловредов? Может это одни и те же копирасты?

[Ren©o]

Для большинства это не вариант, такая система будет постоянно требовать время и маловероятно что вообще решит проблему. Все работают, а значит у администраторов и модераторов хабов есть время только по вечерам, где-то с 7 до 10 вечера. Кто согласится эти часы тратить на ковыряние вирусных порно шар пользователей? Если банить диапазнами - в лучшем случае вместе с распространителями забанится половина пользователей хаба. Бан по ip никогда не был эффективен, почти у всех либо динамика, либо NAT. По данной модели на некоторых хабах модераторы блокируют распространителей вирусов и порно, но в наше время народ не тупой, на халяву никто ничего не будет делать, а фанатиков единицы, их почти не найти. Еслиб всё так просто решалось, Быстрый ответ не поднимал бы тему. Нужно либо писать автоматизированную систему, либо нанять модератора/ов.
Сторонним сервисам ни в коем случае доверять нельзя, использование фильтрорв emule явная дыра в безопасности хаба.
Думаю эта проблема и обязанность тех, кто делает FlylinkDC, т.к. в отличае от нас, держателей хабов, они с пользователей получают деньги, а значит что-то да обязаны им - эту тему следовало поднять у них в блоге.

[dm]

Я не думаю, что сбор IP требует какие-то дикие ресурсы. Сколько их у зловредов? десятки? сотни? Завести файлик с айпишниками зловредов, модераторам хабов можно спокойно собирать в него несколько штук за день, это совсем не напряжно. 10 в день - 300 в месяц, в год 3600 шт. Глядишь, и уменьшится количество вирусов. В любом случае собирать свой фильтр со зловредами, спамерами и т.д. всегда полезно. Админы могут обмениваться фильтрами, чтобы добавлять туда новые айпишники. В конце концов ipfilter у ословодов не за один год собирался

Лично я сделал несколько запросов по ".mkv.exe" и ".avi.exe" - нашел с десяток фейков, добавил в свой личный фильтр. Заняло минут 15.

[Ren©o]

dm, пользователей тысячи и .mkv.exe самое безобидное, что может быть у них в шаре. И дураку ясно что в файле ".mkv.exe" явно что-то не то. В шарах полно вирусов под названиями программ и кейгенов. Их надо выкачивать и проверять антивирусом. И снова повторюсь, динамика и NAT сейчас у всех. Диапазоны IPv4 закончились и таких пользователей будет больше и больше.

Админы могут обмениваться фильтрами

И какие админы будут это делать? Фильтры серьезная вещь, как я могу доверять компетентности других админитраторов хабов в этом вопросе? Как я могу доверять самим администраторам?

В любом случае собирать свой фильтр со зловредами, спамерами и т.д. всегда полезно.

Тут промышленные масштабы, требуется решение не такой большой сложности. И за компом я не 24 часа, а лиш 3 вечером, из которых могу уделить минут 30. Получается распространителю достаточно выйти с хаба на это время, чтобы не попасть под мою зачистку. Модераторов, готовых батрачить целый день за бесплатно я не нашел

[переподвыподверт]

Как насчёт скрипта, который искал бы двойные расширения?

[dm]

ОК, тогда предлагаю вот какой алгоритм скрипта:

1) Собираем файлисты у всех пользователей с шарами от ~1 до 100 ГБ.
2) Отбираем только тех, у кого одна папка!
3) Отбираем только тех, у кого расшарено >10 тыс. файлов.

В 90% случаев это и будут зловреды.

[Ren©o]

переподвыподверт , яж написал, двойные расширения самое безобидное что может быть у них в шаре. И дураку ясно что в файле ".mkv.exe" явно что-то не то. В шарах полно вирусов под названиями программ и кейгенов. Часто пользователи сами не догадываются что раздают вирус. Как ваш алгоритм отфильтрует photoshp_keygen.exe? Именно всякие кейгены и кряки скачивают в DC в большинстве. Первый скриншот в теме: https://dl.dropbox.com/u/35706016/foto/ ... мена01.jpg

[переподвыподверт]

двойные расширения самое безобидное что может быть у них в шаре

И в то же время самый простой способ выловить.

В шарах полно вирусов под названиями программ и кейгенов.

Точно так же, как на трекерах вроде "торрентино" и всяких сайтах-варезниках. И что? Тут хомячку нужно понимать, где находится бесплатный сыр. И соответственно делать выбор между: 1)покупать лицуху; 2)использовать бесплатное ПО; 3)рисковать, надеясь на антивирус и "авось"

Как ваш алгоритм отфильтрует photoshp_keygen.exe?

А как его вообще отфильтруешь? Разве что на свой страх и риск выкачивать, проверять, вносить в базу ТТН.

Ну и как-бы ещё такой момент, что спасение утопающих - дело рук сами знаете кого. Другое дело что было бы хорошо проводить среди юзернеймов разъяснительную работу на тему безопасности в сети - сделать на хабе FAQ, ссылки на статьи по теме.

[Ren©o]

Точно так же, как на трекерах вроде "торрентино" и всяких сайтах-варезниках. И что? Тут хомячку нужно понимать, где находится бесплатный сыр.

и как-бы ещё такой момент, что спасение утопающих - дело рук сами знаете кого.

Ну тогда и тему не было смысла поднимать.

А как его вообще отфильтруешь?

Антивирусом проверять. Либо модератора посадить, либо бота написать, либо встроить антивирус в DC клиент.

Точно так же, как на трекерах вроде "торрентино" и всяких сайтах-варезниках.

А мы такими не пользуемся. Есть два трекера, которыми пользуются все и которых всем хватает, и на них эта проблема отсутствует. Поэтому я бы не пихал в этот разговор трекеры. DC файлопомойка и ей свойственно такое, а трекеры нет.

[переподвыподверт]

А мы такими не пользуемся.

DC файлопомойка

Так вот кто качает пиратки по файлопомойкам - у того пусть и болит голова на тему "как не хватануть вирус".

Антивирусом проверять. Либо модератора посадить, либо бота написать, либо встроить антивирус в DC клиент.

Смешно. Кто и ради чего будет этим заниматься? А предупредить пользователей не затруднительно. Предупреждён = вооружён.
Вот какой процент посетителей среднестатистического хаба знает о существовании альтернативных бесплатных ОС? Или например о том, что не обязательно искать "photoshp_keygen.exe", а можно пользоваться gimp`ом?

[Ren©o]

Ну это уже не ко мне, а к ТС'у Быстрый ответ. Я всего лишь прояснил что простой бан по ".mkv.exe" ничего не даст. Будем ждать подвижек со стороны флая, они единственные в DC кто реально работает за деньги, а не занимается энтузиазмом.

[переподвыподверт]

простой бан по ".mkv.exe" ничего не даст

Естественно. Но я намекал больше на сбор IP для чёрного списка.

[dj hoodo]

Вот какой процент посетителей среднестатистического хаба знает о существовании альтернативных бесплатных ОС? Или например о том, что не обязательно искать "photoshp_keygen.exe", а можно пользоваться gimp`ом?

Какой процент посетителей читает MOTD хаба, правила и ТД ?

[переподвыподверт]

http://lurkmore.to/95

[Kimbo]

Но я намекал больше на сбор IP для чёрного списка.

а это не читали?

Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный.

я тоже когда-то банил по IP, тело меняет IP и заходит(заходило пока не поставил антипрокси, не примитивный так сказать антипрокси ), банил IP + Nick видоизменяло тело свой ник на пару символов и опять заходило и как можно выше пыталось висеть в списке юзеров.

[Ren©o]

Единственный выход сканировать и банить круглосуточно... ну или хотябы 8 часов в сутки. Никто не жедает за бесплатно почистить мой хабчик от распространителей врусов? Мне польза - чистый хаб, вам - возможность проявить хваленый энтузиазм. Я даже спасибо скажу

[ArtCool]

Наивный

[Быстрый ответ]

как там прогресс в борьбе с заразой? есть вести с фронтов?

Такое впечатление, что ботов стало меньше. Возможно они уже выполнили свою задачу - ДЦ++ за рубежом фактически мёртв... Вот кстати, интересно было бы проверить, что за трояны у них, что они конкретно делают. Скорее всего ботнет собирают.

Может емуловские фильтры отфильтруют и наших зловредов? Может это одни и те же копирасты?

Проверил по списку, из 3 ip в списке был только 1. Дальше не стал проверять.

Единственный выход сканировать и банить круглосуточно...

Ну почему единственный? скрипт, который мы обсуждали, написать вполне реально. И будет он банить круглосуточно...

[Ren©o]

Наивный

Это был сарказм. Тут все ярые противники коммерциализации, вот пускай дадут достойное решение проблемы вирусных кейгенов.

Единственный выход сканировать и банить круглосуточно...

Ну почему единственный? скрипт, который мы обсуждали, написать вполне реально. И будет он банить круглосуточно...

Вы просто повторили тоже самое

[HackFresse]

Думаю эта проблема и обязанность тех, кто делает FlylinkDC, т.к. в отличае от нас, держателей хабов, они с пользователей получают деньги, а значит что-то да обязаны им - эту тему следовало поднять у них в блоге.

[Ren©o]

HackFresse, что вызвало у вас припадок? С флаем распространяется баннер, который устанавливается пользователям и с которого разработчики получают деньги. В моих суждениях железная логика Они же кстати являются такими же ярыми противниками коммерциализации, как и сообщество здесь, хотя сами втихую подгребают состояния... я шучу про последнее, но всё же

[Kimbo]

хотя сами втихую подгребают состояния...

не неси чушь.

[Быстрый ответ]

Быстрый ответ писал(а):Ren©o писал(а):Единственный выход сканировать и банить круглосуточно...Ну почему единственный? скрипт, который мы обсуждали, написать вполне реально. И будет он банить круглосуточно...
Вы просто повторили тоже самое

И будет он банить круглосуточно в автоматическом режиме... Так понятнее?