Методы борьбы с ботами - распространителями вирусов

Общение админов хабов и их юзеров.
Tsd
Сообщения: 6
Зарегистрирован: 06 июн 2015, 12:22
Хаб: dchub://tsdhub.info
Контактная информация:

Сообщение Tsd »

flylinkdc писал(а):можно прокомментировать список?
Это то, что сохраняет скрипт в файл. Там блокированные ники и ипы.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

подробнее
какой скрипт?
и какие действия предлагается предпринять?
Tsd
Сообщения: 6
Зарегистрирован: 06 июн 2015, 12:22
Хаб: dchub://tsdhub.info
Контактная информация:

Сообщение Tsd »

flylinkdc писал(а):подробнее
какой скрипт?
и какие действия предлагается предпринять?
Скрипт на первой странице темы. Моё видение: по таймеру удалять из файла/таблицы устаревшие ипы/ники, благо и там и там есть запись os.time
Последний раз редактировалось Tsd 05 сен 2015, 12:34, всего редактировалось 1 раз.
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

Добавлена очистка
dimetro
Сообщения: 11
Зарегистрирован: 23 авг 2012, 23:46

Сообщение dimetro »

Похоже скрипт еще с прошлого обновления не работает. Подгружается База и никого не банит, а в промежутке или даже через минуту буквально после обновления баз, банит флаем ботов., скрипт не трогает их.. И еше глянул antifake.dat там Пусто.

Код: Выделить всё

[2015-09-08 12:00] <•[StealthBot]•> AVDB loaded 3806 items
[2015-09-08 12:35] <•[StealthBot]•> *** Genisis71 с IP 76.217.133.183 был кикнут FlylinkDC-dev.
[2015-09-08 12:43] <•[StealthBot]•> *** nikalosisigh с IP 5.18.96.127 был кикнут FlylinkDC-dev.
[2015-09-08 12:58] <•[StealthBot]•> AVDB loaded 4194 items (total 0)

[15:58:23] <•[StealthBot]•> AVDB loaded 4215 items (total 0)
[16:00:51] <•[StealthBot]•> *** purtokll99 с IP 188.25.208.75 был кикнут FlylinkDC-dev.
[16:09:40] <•[StealthBot]•> *** vawannn с IP 217.118.81.29 был кикнут FlylinkDC-dev.
[16:12:04] <•[StealthBot]•> *** ienayren с IP 93.115.84.125 был кикнут FlylinkDC-dev.
[16:17:30] <•[StealthBot]•> *** Sandrabellaa с IP 87.78.201.253 был кикнут FlylinkDC-dev.
[16:18:42] <•[StealthBot]•> AVDB loaded 4217 items (total 0)
[16:22:16] <•[StealthBot]•> *** purtokll99 с IP 188.25.208.75 был кикнут FlylinkDC-dev.
[16:42:44] <•[StealthBot]•> *** purtokll99 с IP 188.25.208.75 был кикнут FlylinkDC-dev.
[16:48:44] <•[StealthBot]•> AVDB loaded 4218 items (total 0)
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

а вы обновили скрипт?
dimetro
Сообщения: 11
Зарегистрирован: 23 авг 2012, 23:46

Сообщение dimetro »

flylinkdc писал(а):а вы обновили скрипт?
конечно Да :-)
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

09.09.2015
+ сохранение при выходе
+ очистка памяти
+ если уже есть бан, то не баним
+ баним сразу при старте
* если баним, то таблицу тоже сохраняем
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Скрипту пока лежать на github и собирать звездочки и PR :)
AlienKiller
Сообщения: 2
Зарегистрирован: 22 ноя 2015, 18:46

Проблема, не блокируется скачка с вирусботов

Сообщение AlienKiller »

Скрипт версии 09.09.2015 Не блокирует скачку с вирусботов. Настройки в сплоере, почти ничего не менял. Скачка онлайн базы идёт нормально. FL нормально помечает вирусботов Nick+Share+IP
-----
Уточнение: скрипт блокирут соединение с вирусботами только если юзер сидит на хабе в пассиве. При скачке в активе с вирусботов всё прекрасно скачивается. Видимо в активе запросы на отдачу файл-листа идут не через хаб а между юзерами. Такая блокировка меня не устраивает. Придётся включать режим бана вирусботов, чтобы их не было вообще. Мне они были нужны для массовки)).

Хорошо бы добавить особенности работы скрипта в его описание. Возможно лучше вообще оставить только режим бана вирусботов, потому что ограничение скачивания с них только юзерам в пассиве, это очень узкое ограничение т.к. большинство всё же сидят в активе.
Спойлер
local sHubIp = "127.0.0.1" -- изменить на свой IP
local iHubUdpPort = SetMan.GetString(4)
local sHubBot = SetMan.GetString(21)
local iMode = 2
-- Режим работы. 0 - локальный детектор + онлайн-база, 1 - только локальный, 2 - только онлайн
-- Для работы онлайн-режима нужно скачать Curl и положить его в папку "ptokax/curl"
local AvdbTimer = 111
-- Таймер обновления базы, в минутах
local AvdbClear = 30
-- Таймер очистки файла базы, в днях
local iBan = 0
-- Что делать с обнаруженными ботами. Если число больше 0, то баним на такое кол-во ДНЕЙ. Если 0, то только блочим соединения.
local sReason = "Autoban virus-bot"
-- Текст для причины бана
local fFile = Core.GetPtokaXPath().."scripts/antifake.dat"
-- Имя файла для сохранения таблицы блокировок
local tPrefix = -- префикс (начало) строки
{ "100 best","download", "free", "driver", "top 100", "top girl", "18 girl", "sexy girl","top wallpaper", "sexy wallpaper", "anti virus", "0day", "apple","microsoft", "nero","tools", "windows", "office", "adobe", "google", "android", "crack", "patch", "keygen", "serial", "trojan", "torrent", "advanced", "ahead", "collection", "wallpaper", "porn", "ptsc", "pthc", "preteen", "lolita", "sex", "img_ .jpg", "01 .mp3"
}
local tSuffix = {".exe",".zip",".rar",} -- суффикс (конец) строки
-- Скрипт перебирает ВСЕ префиксы и суффиксы и соединяет их в поисковый запрос.
-- Соответственно, для выдачи результата нужно подождать какое-то время .
local FakeTimer = 30
-- Таймер поиска, в секундах
local FakeDiff = 256
-- Разница размера файлов в результатах поиска, в байтах. Увеличение может привести к ложным срабатываниям.
local FakeCnt = 50
-- Счетчик ответов на поиск. Если юзер ответил на наш поиск более этого числа раз, то блокируем его. Уменьшение может привести к ложным срабатываниям.
Последний раз редактировалось AlienKiller 22 ноя 2015, 19:23, всего редактировалось 3 раза.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

многократно и в этой теме, и на хабе разработчиков (dc.fly-server.ru) я повторял простую схему:
С http://dchublist.ru/forum/viewtopic.php?p=21033#p21033 и дальше по теме,
http://dchublist.ru/forum/viewtopic.php?p=24491#p24491:
Кажется, кто-то не осилил простую схему
1) юзер ищет "на моем хабе" -- бот отвечает "на моем хабе"

2) юзер ставит на закачку "на моем хабе" -- невечно (до успешного скачивания) зацикленные соединения с ботом "на моем хабе" не проходят.
Ура, блестящая победа над вирусами "на моем хабе" , "Да достаточно уже того, что на моём хабе количество дерьма уменьшилось" ?

3) дц-клиент производит поиск альтернатив на других хабах.
Внезапно оказывается, что среднее число подключенных хабов у юзера - 15, у ботовода - 50+. А хабов, где банят ботоводов, не особо-то и много.
Файл с заразой скачается успешно с довольно большой вероятностью, и с довольно большой вероятностью попадает в шару к скачавшему юзеру.
А тут внезапно оказывается, что шара на всех хабах с большой вероятностью общая

4) в итоге юзер ставит на закачку "на моем хабе" , качает на чужом хабе, и становится на раздачу "на моем хабе"

5) "на моём хабе количество дерьма уменьшилось"? Да. Намного? Ну уменьшилось же!
А вот
Хорошо бы добавить особенности работы скрипта в его описание. Возможно лучше вообще оставить только режим бана вирусботов, потому что ограничение скачивания с них только юзерам в пассиве, это очень узкое ограничение т.к. большинство всё же сидят в активе.
-- это просьба признаться в том, что без банов скрипт не только бесполезен, но и вреден, http://dchublist.ru/forum/viewtopic.php?p=21070#p21070
Из-за того, что боты висят в онлайне и отвечают на поисковые запросы, PROFIT даже на этом одном хабе с установленным скриптом не наступает. Файлы продолжают скачиваться через другие хабы и dht, появляется дополнительная нагрузка на хаб в виде циклических бесполезных запросов поиска по ттх и циклических запросов на установление соединения c ботом.
Аватара пользователя
Мультик©™
Сообщения: 226
Зарегистрирован: 17 мар 2011, 21:37
Хаб: dchub://prime-hub.ru

Сообщение Мультик©™ »

HackFresse писал(а):многократно и в этой теме, и на хабе разработчиков (dc.fly-server.ru) я повторял простую схему:
С viewtopic.php?p=21033#p21033 и дальше по теме,
viewtopic.php?p=24491#p24491:
Проблемы не только с этим, сам алгоритм несовершенен. Много ложных детекторов. Определять только количество файлов exe, zip,rar и т.д. .... Я Паше писал, что можно было бы срабатывание на соотношение ник+шара+ip сделать от 3-х, 4-х, меньше было бы вопросов. А так получается вирусов нет а детектор срабатывает, пользователи пугаются.
aleksei
Сообщения: 76
Зарегистрирован: 14 май 2013, 14:37
Хаб: dchub://v-l.es
Контактная информация:

Сообщение aleksei »

подскажите,где можно,если конеш можно,найти никнеймы самых распространенных ботов . дело в том что буквально с недавнего времени скрипт начал банить совершенно новые ,ничем не примечательные, никогда раньше не светившиеся у бота,ники. их правдо не много,1-2 за сутки, настройки не трогал никакие.
приведу примеры последние

Код: Выделить всё

37.151.31.196 с ником AllaAvto был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 08:39:16 ] <freeline-boteg> Фэйк-ботов заблокировано: 1
[2015-12-05 22:41:30 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:44:09 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:53:53 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[1:09:09] <freeline-boteg> 78.111.63.80 с ником amelito был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[4:53:38] <freeline-boteg> 5.18.144.17 с ником User542242 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
может кто подтвердить,что это точн боты?
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

База вирусных ботов тут.
http://www.te-home.net/avdb.php?do=load ... 1&copath=1

открой шару у юзеров и проверь - правда там вирусня или нет
dimetro
Сообщения: 11
Зарегистрирован: 23 авг 2012, 23:46

Сообщение dimetro »

aleksei писал(а):подскажите,где можно,если конеш можно,найти никнеймы самых распространенных ботов . дело в том что буквально с недавнего времени скрипт начал банить совершенно новые ,ничем не примечательные, никогда раньше не светившиеся у бота,ники. их правдо не много,1-2 за сутки, настройки не трогал никакие.
приведу примеры последние
Код: Выделить всё37.151.31.196 с ником AllaAvto был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 08:39:16 ] <freeline-boteg> Фэйк-ботов заблокировано: 1
[2015-12-05 22:41:30 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:44:09 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:53:53 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[1:09:09] <freeline-boteg> 78.111.63.80 с ником amelito был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[4:53:38] <freeline-boteg> 5.18.144.17 с ником User542242 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot

может кто подтвердить,что это точн боты?
Версию скрипта давно обновлял-скачай последнюю, с никами проблем не было в ней.. http://prntscr.com/9b1tia вот сидят на месте
Последний раз редактировалось dimetro 06 дек 2015, 21:07, всего редактировалось 1 раз.
aleksei
Сообщения: 76
Зарегистрирован: 14 май 2013, 14:37
Хаб: dchub://v-l.es
Контактная информация:

Сообщение aleksei »

ну как была так и ест ьот 9 сентября версия. посмотрел-все боты ,дмитрий только этот в них не числится
Последний раз редактировалось aleksei 07 дек 2015, 18:15, всего редактировалось 1 раз.
dimetro
Сообщения: 11
Зарегистрирован: 23 авг 2012, 23:46

Сообщение dimetro »

aleksei писал(а):ну как была так и ест ьот 9 сентября версия. посмотрел-все боты ,дмитрий только этот в них не числится
у тебя он и локально ищет +еше к базе? вот если режим =2 работать с базой только-проблем нет. ;-)
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

AlienKiller писал(а):При скачке в активе с вирусботов всё прекрасно скачивается.
Да, есть такое - исправил, можно качать обновленную версию.
Добавил также пояснение насчёт UDP порта.
Последний раз редактировалось Быстрый ответ 07 дек 2015, 22:49, всего редактировалось 1 раз.
aleksei
Сообщения: 76
Зарегистрирован: 14 май 2013, 14:37
Хаб: dchub://v-l.es
Контактная информация:

Сообщение aleksei »

он ищет только локально у меня,потому как если выставить и с базы чтоб проверял,мне пишет типа нет доступа к папке

Код: Выделить всё

curl/temp
хотя уже права всем открыл.
Аватара пользователя
RoLex
Сообщения: 51
Зарегистрирован: 01 апр 2011, 09:39
Хаб: nmdcs://russia.feardc.net:411
Откуда: Швеция
Контактная информация:

Сообщение RoLex »

Небольшое обновление для первого поста: Думаю можно сменить название Antivirus на Ledokol. Тут кстати последняя версия, Ledokol 2.8.9.16 > http://www.te-home.net/?do=work&id=ledokol&file=102
ovaok
Сообщения: 1
Зарегистрирован: 07 фев 2017, 01:25

Сообщение ovaok »

хаб allavtovo.ru ник (game--server)_R192
ник -GAMER_PRO_R870

хаб dc.milenahub.ru ник -GAMER_PRO_R271
ник (game--server)_R302
ник -GAMER_PRO_R315

хаб dc.filimania.com ник (game--ser_R674
ник -GAMER_PRO_R359

хаб artcool.org ник (game--server)

хаб dc.tiera.ru ник (game--ser_R367
ник (game--server)
ник -GAMER_PRO
хаб dc.fly-server.ru ник (game--ser_R159
ник -GAMER_PRO_R208

расшарены папки установок разных игр, в каждой папке вирус autorun.exe
Аватара пользователя
переподвыподверт
Сообщения: 252
Зарегистрирован: 05 окт 2010, 20:23
Откуда: Харьков

Re: Методы борьбы с ботами - распространителями вирусов

Сообщение переподвыподверт »

:[StealthBot]:> Вы были временно забанены на этом хабе. Вам осталось ждать: 23 часов 59 мин 44 сек.
IP: *
Причина: Autoban virus-bot
<# Медный Всадник> You have been kicked because: Virus and illegal pornography spreaders are not welcome here _ban_3d
<Джон_Флинт> Вам запрещен вход на этот хаб.:

[*] Ник: *
[*] IP: *
[*] Шара: 3738231021753 [3.40 Тб]
[*] Причина: Сгинь галимый вирус  _ban_30d
[*] Время: Осталось 1 неделя 4 дней
Доброго времени суток. Нынче на некоторых хабах из топ-10 пошла мода использовать бота, банящего за распространение вирусов и ггнухи.
Так вот просьба к адменам: допилите сие чудо, чтоб оно указывало в причине, к какому конкретно файлу оно доколупалось.
В почти помершем DC 30-ти дневный бан хз за что - это прям то что надо)
Аватара пользователя
RoLex
Сообщения: 51
Зарегистрирован: 01 апр 2011, 09:39
Хаб: nmdcs://russia.feardc.net:411
Откуда: Швеция
Контактная информация:

Re: Методы борьбы с ботами - распространителями вирусов

Сообщение RoLex »

@ переподвыподверт

Без проблем помогу, решу все проблемы. Дело только в том что ты не указал ник или ИП. Поиск по "переподвыподверт" или "3738231021753" ничего не выдал.

Единственное что нашел сегодня с UA (судя по твоему профилю - Откуда: Харьков):
[2021-10-05 15:48:17] <# Feed> AVDB update from 51.83.175.243.FR: ss5kh | 46.150.7.81.UA | 2695393246668 = 2.45 TB | video\pron\JOI\JOI & CEI Rus SUBS\Incest.mp4 | YSAGOLUJLCJS6JEHDHSMT2QLI74JK65WZF7LTVI
Оно?
Аватара пользователя
переподвыподверт
Сообщения: 252
Зарегистрирован: 05 окт 2010, 20:23
Откуда: Харьков

Re: Методы борьбы с ботами - распространителями вирусов

Сообщение переподвыподверт »

RoLex писал(а): 05 окт 2021, 21:01 Оно?
100 пудов. Так а в причине оно указывать не умеет?
з.ы. Если чё, ролик постановочный, актрисса совершеннолетняя. :-D
Ответить