Методы борьбы с ботами - распространителями вирусов

Общение админов хабов и их юзеров.
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

Ну что ж, наверно мало кому это интересно, судя по реакции :)
Тогда продолжу диалог с самим собой... Кажется, мне удалось-таки подавить их активность, путём блокировки соединений. В результате, боты висят в онлайне, на поиск ответы выдаются, но с них ничего не скачать. Желающие могут проверить.

Теперь вопрос, как сделать такое? отвечаю:
1) образец скрипта выше.
2) по этому образцу делаем несколько поисковых запросов, определяем их ники и IP.
3) берём описание протокола NMDC, а конкретно $ConnectToMe и блочим их соединения.
4) По вкусу - добавляем сохранение в таблицу на случай рестарта скрипта.
5) ?????
6) PROFIT !!!
Аватара пользователя
dm
Администратор
Сообщения: 710
Зарегистрирован: 23 авг 2009, 18:06
Хаб: dchub://peerates.no-ip.org
Откуда: Russia
Контактная информация:

Сообщение dm »

Можешь первый пост темы отредактировать - повесить туда скрипт и инструкции ;)
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Вспомнил про поисковые запросы
HackFresse писал(а): я смотрю на http://mydc.ru/topic915s20.html?p=6743#entry6743
После отправки на хаб этого сообщения, хаб должен без изменений переслать это сообщение всем пользователям хаба. Каждый пользователь с одним или более совпадениями должен послать UDP пакет на [IP]:[Порт] в случае активного запроса или на хаб в случае пассивного запроса.
Активный режим - поисковый запрос от юзера приходит на хаб, хаб рассылает его всем подряд, кто нашелся - сам соединяется с юзером.
Пассивный режим - поисковый запрос от юзера приходит на хаб, хаб рассылает его всем подряд, кто нашелся - отправляет ответ юзеру через хаб .

Активным быть стильно и модно, все настойчиво советуют Но контролировать поисковые запросы можно только в одной точке - на моменте передачи поиска от юзера всем подряд (и зловредам тоже). Зловред ответил на поиск напрямую юзеру, юзер поставил файл на закачку - запрос закачки файла по ттх уже хабом никак не отловится.
Т.е. бот в активе, поисковый запрос прошел, бот напрямую отдал ответ клиенту (TTH заразы). TTH стоит в очереди на закачку, клиент часто и безуспешно пытается соединяться с ботом, периодически рассылая поиск альтернатив по ттх.

Зловредам нужно работать в паре - один отдаёт tth на поисковые запросы (но ни файл-листа, ни файлов не имеет), другой отдаёт только файлы по запросу через ттх . PROFIT!!! *CRAZY*
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

HackFresse писал(а):Зловредам нужно работать в паре - один отдаёт tth на поисковые запросы (но ни файл-листа, ни файлов не имеет), другой отдаёт только файлы по запросу через ттх . PROFIT!!!
Ну, если ты смотрел мой скрипт, то фишка в том, что скриптом делается запрос на поиск, т.е. скрипт как бы прикидывается обычным юзером. Поэтому результаты поиска тоже получает скрипт, напрямую. По поводу ТТН, во-первых в результатах не может быть только ТТН, там всегда есть имя и размер файла. А поиск альтернатив ничего не даст ботам, потому что их ТТНы сгенерированы и поэтому уникальны...
ЗЫ И вообще, мы тут обсуждаем, как бороться с ботами, а не как их усовершенствовать! ;D
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Я про то, что бот будет всё равно получать поисковые запросы и отвечать на них напрямую (без участия хаба).

Блокировка $ConnectToMe и $RevConnectToMe позволит заблокировать соединения только через один хаб, а один подключенный хаб в клиенте - редкость. И на других хабах пройдёт закачка через TTH. Еще есть такая весёлая штука, как DHT.

Блокировка соединений на стороне хаба никак не отслеживается на клиентах, вынуждая их постоянно посылать бесполезные запросы на соединение и поиск альтернатив.
Ограничения на частоту поисковых запросов опять же..

Дискредитация с формулировкой "пачиму не качаит"
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

HackFresse писал(а):Блокировка $ConnectToMe и $RevConnectToMe позволит заблокировать соединения только через один хаб
Ну, пока еще не придумали скриптов, которые бы автоматом устанавливались на все хабы. Да и я не собирался спасать весь мир.
Если ты о том, что такой фильтр неплохо бы реализовать разработчикам в клиентах, то я согласен. Но тут много сложностей, ведь можно случайно заблокировать и "добрый" контент заодно со "злым". А кроме того, это противоречит идее свободного обмена информацией. Но в том и преимущество ДЦ++, что каждый хаб может воротить что ему вздумается, и на других это никак не отразится.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Этот скрипт ведь и противоречит идее свободного обмена. Хочет кто-то распространять какашку - пускай свободно и распространяет. *ROFL*
Аватара пользователя
Вечный
Сообщения: 1098
Зарегистрирован: 24 авг 2009, 17:27

Сообщение Вечный »

Вся эта тема в целом противоречит теории естественного отбора. Если юзер туп и не может отличить заведомый вирус, который и не прячется даже, от нормального файла, почему это должно быть проблемой админа, который, между прочим, даже денег не получает от своего админства? Пусть качают вирус, запускают его, получают проблемы, кричат на всех углах "я в дц скачал вирус". Меньше будет таких же тупых на хабах. Не пускайте детей в интеренет, от детей интернет тупеет.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Кажется, мне удалось-таки подавить их активность, путём блокировки соединений. В результате, боты висят в онлайне, на поиск ответы выдаются, но с них ничего не скачать. Желающие могут проверить.

Теперь вопрос, как сделать такое? отвечаю:
1) образец скрипта выше.
2) по этому образцу делаем несколько поисковых запросов, определяем их ники и IP.
3) берём описание протокола NMDC, а конкретно $ConnectToMe и блочим их соединения.
4) По вкусу - добавляем сохранение в таблицу на случай рестарта скрипта.
5) ?????
6) PROFIT !!!
Ну, пока еще не придумали скриптов, которые бы автоматом устанавливались на все хабы. Да и я не собирался спасать весь мир.
Из-за того, что боты висят в онлайне и отвечают на поисковые запросы, PROFIT даже на этом одном хабе с установленным скриптом не наступает. Файлы продолжают скачиваться через другие хабы и dht, появляется дополнительная нагрузка на хаб в виде циклических бесполезных запросов поиска по ттх и циклических запросов на установление соединения c ботом.
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

Хорошо, если кто-то считает это бесполезным, может не устанавливать этот скрипт. А у меня был чисто академический интерес, возможно ли такое сделать - оказалось, что возможно. И теперь дети будут кричать "я скачал вирус на Андромеде", а не на Озерках :-)
А что касается нагрузки, то я ее повышения не заметил. Помнится, на заре хабоводства популярен был скрипт "хуббабот" - вот это был реальный тормоз, да... А тут, если и повысится загрузка проца, то на какие-то доли процента.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Я просто указал, что решение имеет минусы. И у меня тоже исключительно академический интерес к составлению алгоритмов. А сделать можно много чего, было бы желание

А дети будут кричать "я скачал вирус через дц, в торрентах такого не было"
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

HackFresse писал(а):А дети будут кричать "я скачал вирус через дц, в торрентах такого не было"
Что-то твоя логика от меня ускользает. Я выложил скрипт для борьбы с вирусами, а теперь выясняется, что их всё равно можно скачать через другие хабы.
Видимо не надо было выкладывать? :-)
Alexandr
Сообщения: 93
Зарегистрирован: 24 авг 2009, 00:18

Сообщение Alexandr »

Kimbo писал(а):Быстрый ответ писал(а):Видимо не надо было выкладывать?
Не надо.
Толку-то? Просто хвастовства
Это был риторический вопрос, дурень :)
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

Kimbo писал(а):Толку-то?
Для тебя и многих других толку действительно ноль. Поскольку вы не в состоянии осилить пункт 3

Код: Выделить всё

3) берём описание протокола NMDC, а конкретно $ConnectToMe и блочим их соединения. 
То и скрипт для вас бесполезен. Вам ведь нужно всё на блюдечке подать. А вопрос и правда был риторический.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Теперь хочу услышать идеи, каким образом с ними бороться. Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально.


ЗЫ Кажется, мне удалось-таки подавить их активность, путём блокировки соединений. В результате, боты висят в онлайне, на поиск ответы выдаются, но с них ничего не скачать.
Как это сделать:
1) образец скрипта см. здесь: viewtopic.php?p=21029#p21029
2) по этому образцу делаем несколько поисковых запросов, определяем их ники и IP.
3) берём описание протокола NMDC, а конкретно $ConnectToMe и блочим их соединения.
4) По вкусу - добавляем сохранение таблицы в файл, на случай рестарта скрипта.
5) ?????
6) PROFIT !!!
Еще раз обращаю внимание:
1) Посмотрите, пожалуйста, на самое первое сообщение, на картинки под спойлерами.
2) Посмотрите, пожалуйста, на образец скрипта см. здесь: http://dchublist.ru/forum/viewtopic.php?p=21029#p21029 , на строчку local sSearch = ".mp3.exe"
3) Посмотрите на постановку задачи "вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов"

Ни один из 3-х ботов со скриншотов не подпадает под действие скрипта, там нету двойных расширений.

4) "В результате, боты висят в онлайне, на поиск ответы выдаются, но с них ничего не скачать."
Быстрый ответ писал(а):Для тебя и многих других толку действительно ноль. Поскольку вы не в состоянии осилить пункт 3

Код: Выделить всё

3) берём описание протокола NMDC, а конкретно $ConnectToMe и блочим их соединения.
Берём описание протокола NMDC, а конкретно $SR. Бот отвечает на поисковые запросы напрямую, минуя хаб. Клиенту нужно только установить соединение с ботом для закачки конкретного файла.
С ботов ничего не скачать только если боты и юзер подключены исключительно на один хаб, но
Чтобы не было лишних сомнений - такие боты представлены на всех крупных хабах. Не верите - проверьте. (а также посмотрите последний скриншот)
Поставленный в очередь на закачку tth с вирусякой будет долго и упорно искаться по всем подключенным хабам, на каком-то и скачается.

5)
дети будут кричать "я скачал вирус на Андромеде", а не на Озерках :-)
тоже не выполняется.
Быстрый ответ писал(а):Для тебя и многих других толку действительно ноль. Поскольку вы не в состоянии осилить пункт 3

Код: Выделить всё

3) берём описание протокола NMDC, а конкретно $ConnectToMe и блочим их соединения.
Берём описание протокола NMDC, а конкретно $SR. Бот отвечает на поисковый запрос напрямую, сообщая имя хаба. На закачку юзер ставит из окна поиска, где будут именно Озерки.
А то, что через 100500 попыток поиска по всем хабам по ттх клиент юзера сможет законтачиться с ботом через Андромеду или другой какой хаб и быстро скачать небольшой файлик, так юзер это вряд-ли вообще заметит ("с какого хаба оно скачалось"). Нашлось-то на Озерках, в очередь я ставил на Озерках. Это на Озерках некачаит, не может соединиться с другим пользователем.


Скрипт полезен, но решает лишь малую часть поставленной задачи
Последний раз редактировалось HackFresse 18 окт 2013, 11:52, всего редактировалось 3 раза.
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

Kimbo писал(а):а может мне просто не нужен твой скрипт
Зачем тогда эту тему читаешь, да еще и отвечаешь? Считаешь, что всем настолько важно знать, что этот скрипт тебе не нужен? и вообще все просто жаждут узнать твоё мнение по этому вопросу?
Kimbo писал(а):Я по своему заблокировал иностранцев и меня это устраивает.
Да заблокируй хоть всё там у себя, поставь везде return true (хоть на это-то ты способен?) :-)
HackFresse писал(а):Ни один из 3-х ботов со скриншотов не подпадает под действие скрипта, там нету двойных расширений.
Вам слово "образец" говорит о чем-нибудь? или вы тоже относитесь к числу тех, кто сам не способен ни строчки дописать?
Двойное расширение там для примера, КАК их детектить.
HackFresse писал(а):Поставленный в очередь на закачку tth с вирусякой будет долго и упорно искаться по всем подключенным хабам, на каком-то и скачается.
И что? я ведь уже писал:
Быстрый ответ писал(а):пока еще не придумали скриптов, которые бы автоматом устанавливались на все хабы. Да и я не собирался спасать весь мир.
HackFresse писал(а):Нашлось-то на Озерках, в очередь я ставил на Озерках.
Смешно, да. Там изначально смайл стоял, если вы не заметили.
HackFresse писал(а):Скрипт полезен, но решает лишь малую часть поставленной задачи
Фух... хорошо хоть кто-то признал, что он не вреден.
Последний раз редактировалось Быстрый ответ 18 окт 2013, 12:34, всего редактировалось 1 раз.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Фух... хорошо хоть кто-то признал, что он не вреден.
А я считаю, что любые скрипты полезны.

Вместо одного запроса на поиск по tth и одного запроса на установление соединения $ConnectToMe эти самые запросы станут циклическими (на хабе со скриптом и на всех других подключенных) до тех пор, пока файл не скачается. Это плохо.
Вам слово "образец" говорит о чем-нибудь? или вы тоже относитесь к числу тех, кто сам не способен ни строчки дописать?
Двойное расширение там для примера, КАК их детектить.
Образец того, как найти двойное расширение в шаре с помощью скрипта, это да. Как искать с помощью скрипта - это полезно.

Но как же ботов детектить, если в шаре нету двойных расширений?
Окей, будем искать по неким сочетаниям слов. Но как отличить бота от того, кто уже скачал какашку (или действительно кряк для автокада) на основании только единичных поисковых запросов? Образец тут ответа никакого не даёт
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

В заглавный пост добавлен готовый скрипт, пояснения внутри.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

Yanon писал(а):Я извиняюсь, но, по-моему, Вы не правы. Давайте обсудим. Пишите мне в PM, пообщаемся.
А где ссылка на гомносайт, который спамишь?!!!

Всё нашёл. Ссылка в личных сайтах пользователя. :)

Блин. Есть хоть один человек, который объяснит мне зачем нужны все эти спам ссылки. Ведь они могут принести только вред ресурсу, который рекламируется.
Было у меня такое. У меня за деньги так же попросили поставить ссылку на их сайт с короткой информацией. Я конечно согласился и поставил. А потом через месяц мне пришло письмо, от них же, чтобы я удалил их ссылку. Я у них спросил почему, они объяснили, что из-за заспамленности ссылками на их ресурс, их сайт упал в топе выдачи поисковых систем, в результате компания начала нести убытки.
Поисковики тоже не идиоты и умеют отличать настоящий ссылки от наставленных ботами.
Аватара пользователя
HackFresse
Сообщения: 507
Зарегистрирован: 02 фев 2010, 19:23

Сообщение HackFresse »

Тема такая - "Методы борьбы с ботами" - вот они в бой и летят. Борцы, чо.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

Blackaged писал(а):Предлагаю Вам попробовать поискать в google.com, и Вы найдёте там все ответы.
На этот раз соглашусь с твоим высказыванием. Я тоже думаю, что пора кому-то обратиться в Гугл. Если ты настолько упёртый, то я советую админам этого форума зайти в Гугл и и поискать плагин для форума.
Короче, я предлагаю админам, т.к. они бывают тут не так часто, то сделать на форуме что-то типа самомодерации - когда пользователи сами от части модерируют форум.
В общем, на одном форуме, на аналогичном движке, я видел плагин "Карма". Суть состоит в том, что пользователи голосуют за сообщение. Если сообщение конкретный спам и карма уходит в минус, к примеру -3, то посты данного пользователя с форума скрываются до прихода админа форума, который примет окончательное решение (удалить пост и юзера или опубликовать его посты).
Я думаю, что такая мера поможет в борьбе с упёртым школьником, который тут постоянно спамит какими-то гомносайтами, пытаясь показать из себя бота. Боты, на сам деле, намного умнее его.
Последний раз редактировалось slav 29 окт 2013, 14:48, всего редактировалось 1 раз.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

Kimbo писал(а):кармадрочерство
Я так и знал, что ты первый об этом подумаешь :-D
Не все такие как ты и у тебя это не прокатит. Посты же удалятся не будут, а только скрываться на время, до прихода модератора. Короче, из постмодерируемых они перейдут в премодерируемые.
А таких, кто будет заниматься клоноводством, можно будет тоже банить.
Последний раз редактировалось slav 29 окт 2013, 16:27, всего редактировалось 1 раз.
Аватара пользователя
LAV ©
Сообщения: 89
Зарегистрирован: 08 ноя 2009, 03:12

Сообщение LAV © »

Попытка проверить шары всех пользователей на вирусы и заблочить файлообмен с зараженными - утопия. А блочить только каких-то избранных ботов распространителей - тоже бессмысленно. Любой пользователь без антивируса подцепит вирус через несколько дней обычного серфинга.
Отсюда вывод: не нужно из программного обеспечения хаба делать антивирус. Вирусописатели все равно найдут как его обойти.

Что имеет смысл:
1) На хабе рекомендовать установку антивируса и от производителя антивируса даже получать какую-то денежку за это.
2) В клиенты DC ввести опцию "Проверять файлы на вирусы после закачки" и далее выбор антивируса, как это сделано в Donwload Master и аналогичных качалках. Конечно эта опция нужна только если антивирус не запущен в резидентном режиме и не контролирует все записываемые и открываемые файлы.
Аватара пользователя
Быстрый ответ
Сообщения: 436
Зарегистрирован: 16 авг 2010, 00:21

Сообщение Быстрый ответ »

Меня мало волнует, кто какие вирусы и где подцепит. Я считаю, что блокировать ботов нужно потому, что они создают (и уже создали!) общее мнение, что DC++ это помойка. Если кто-то еще не в курсе, это и делается именно для создания такого мнения. (читайте: http://dchublist.ru/forum/viewtopic.php?p=20984#p20984 ) Для этого же и т.н. "фэйки" выкладываются в большом количестве. Для того, чтобы юзер-хомячок, установив клиент DC++ и попытавшись что-то скачать, увидел бы, что в результате он накачал вирусов и порнухи, и в ужасе удалил бы клиент в тот же день. А ведь так и происходит на самом деле, и во многом из-за этого DC++ и теряет свою популярность.

На самом деле проблема вирусов и фейков решается легко, но это для нас - мы продвинутые юзеры. А основная масса - нет. Основной массе нужно, чтобы клиент (сразу после установки!) скачивал фильмы и музыку, а вместо этого он (повторяюсь) скачивает порнуху и вирусы. Ведь основная масса не знает, что нужно юзать предпросмотр, чтобы не скачать фэйк. И что нужно смотреть на расширение и размер файла, а не на название - чтобы не скачать вирус.

И кстати, во многих клиентах ЕСТЬ опция
LAV © писал(а):"Проверять файлы на вирусы после закачки" и далее выбор антивируса, как это сделано в Donwload Master и аналогичных качалках
. В стронге нету, а вот в грейлинке есть, скорее всего и в флайлинке есть. Только никто ее не включает, да и мало от нее толку.
Последний раз редактировалось Быстрый ответ 05 дек 2013, 20:39, всего редактировалось 1 раз.
Аватара пользователя
LAV ©
Сообщения: 89
Зарегистрирован: 08 ноя 2009, 03:12

Сообщение LAV © »

Где доказательство, что заразившийся юзер не становится таким же "ботом"?

DC теряет популярность не из-за вирусов, а из-за онлайн сервисов просмотра и прослушивания. Нет смысла качать фильм из DC, если его можно просмотреть онлайн Вконтакте.
Последний раз редактировалось LAV © 05 дек 2013, 21:38, всего редактировалось 1 раз.
Ответить