Методы борьбы с ботами - распространителями вирусов

Kimbo · Сообщение **Kimbo** » 29 ноя 2014, 23:26

aleksei писал(а):а терь вопрос , значит пришел и вижу шота инет както лагает. а тут смотрю,лагает не инет ,а лагает роутер. ну смотрю лог и вижу порядка 40-50 запросов на 411 порт в секунду,запросы идут пачками с многих ипов,и локлаьных в том числе. после выруба скрипта все приходит в норму.

Так, а вопрос-то где?

aleksei · Сообщение **aleksei** » 30 ноя 2014, 08:00

вопрос прекрасно понятен из выше изложенного. что делать со скриптом для нормлаьной его работы?

Chavy · Сообщение **Chavy** » 30 ноя 2014, 12:42

Наверно вирусораспространителей на хабе много, раз столько ответов приходит

slav · Сообщение **slav** » 30 ноя 2014, 19:49

RoLex писал(а):Если еще есть вопросы - пожалуйста.

Что значит эта запись и как с ней бороться?

Код: Выделить всё

[19:27:13] <OpChat> Донесение на офлайн пользователя AVDB ][ Причина: Following users were detected as virus spreaders according to AVDB: Angel4you ][ Ник: TEPinger ][ IP: 5.135.96.214 ][ Страна: CH=Switzerland

Kimbo · Сообщение **Kimbo** » 01 дек 2014, 16:14

aleksei писал(а):вопрос прекрасно понятен из выше изложенного.

выше вопроса, и вопросительного знака, нет.

aleksei писал(а):что делать со скриптом для нормлаьной его работы?

а здесь вопрос есть. Для нормальной работы - настроить под себя, свой комп/роутер.

aleksei · Сообщение **aleksei** » 07 дек 2014, 07:33

шо значит под себя? в натсройках ест ь2 опции,я и их даж уточнил на всяк случай.

RoLex · Сообщение **RoLex** » 24 дек 2014, 08:09

slav писал(а):Что значит эта запись и как с ней бороться?

Мой пингер шлет рапорты о найденых зараженных пользователях на хабах которые он посещает, и где не стоит антивируса (если у тебя стоит антивирус Ledokol то это баг который я исправил в версии 2.8.5, релиза еще нет, пока в разработке @dev). Если твой скрипт не детектит этого пользователя то скорее всего тот не отвечает на поисковые запросы антивируса, в Ledokol есть команда !avdetforce <nick>, используй ее для принужденного детекта.

slav · Сообщение **slav** » 24 дек 2014, 23:49

RoLex, ясно. Спасибо за разъяснения.

flylinkdc · Сообщение **flylinkdc** » 19 мар 2015, 18:21

AVDB уже долго не работает в связи с DDoS хоста
т.к. этот урл встроен во флайлинки
то все юзера в логах получают вот такую ошибку:
их конечно это не напрягает сильно но нехорошо.

[2015-03-19 18:15:19] InternetOpenUrl [http://www.te-home.net/avdb.php?do=load ... 1&copath=1] error = Операция успешно завершена.[error: 0]
[2015-03-19 18:15:19] [Step ] [Sync Antivirus DB] Antivirus DB error download. http://www.te-home.net/avdb.php?do=load ... 1&copath=1 [3087 ms]
[2015-03-19 18:15:19] [Stop] [Sync Antivirus DB] [8 ms, Total: 3095 ms]

Что будем делать?

slav · Сообщение **slav** » 19 мар 2015, 18:38

flylinkdc писал(а):Что будем делать?

Искать Ролекса…

Переносить данные на какой-нибудь более защищённый сервер.

Kimbo · Сообщение **Kimbo** » 19 мар 2015, 22:13

flylinkdc писал(а):в логах получают вот такую ошибку

так вот что за ерунда постоянно мне глаза мозолит, а я то думал...

flylinkdc · Сообщение **flylinkdc** » 20 мар 2015, 13:18

Ролексу отписал в личку - жду
также пока во флаях отключил загрузку базы с ресурса http://www.te-home.net

SergSat · Сообщение **SergSat** » 26 мар 2015, 17:10

flylinkdc писал(а):Ролексу отписал в личку - жду
также пока во флаях отключил загрузку базы с ресурса http://www.te-home.net

А вы пробовали перейти по нему?

slav · Сообщение **slav** » 26 мар 2015, 17:17

SergSat писал(а):А вы пробовали перейти по нему?

Скорее всего, это редирект для защиты от DDOS-атаки.
А информацию про домен читайте тут http://whois.domaintools.com/te-home.net
Created on 2006-08-20 - Expires on 2015-08-20 - Updated on 2014-07-22 (Домен продлён в июле 2014 до августа 2015)

slav · Сообщение **slav** » 26 мар 2015, 17:31

У меня есть много версий за что и кто могут DDOS-ить разработчика Верлихаба.
Но, только к одной я больше всего склоняюсь. Ролекс разработал ПО, которое реально зацепило распространителей вирусов (через вирус и делается возможность ддосить с чужих компов). Разрабы доссовских програм мстят Ролексу. ДДОСы на сервера ФлайЛинка по той же причине. Флай поставил в своём клиенте туже самую антивируску.

P.S. Про наличие скриптов, через которые тоже можно доссить мне известно. Но, я думаю, что эти ддосеры делают через ехе-файлы атаки.

SergSat · Сообщение **SergSat** » 27 мар 2015, 18:49

А смысл exe файла на линухе.

slav писал(а):А информацию про домен читайте тут http://whois.domaintools.com/te-home.net

Оттуда же
IP Address 127.0.0.1 - 154,577 other sites hosted on this server

slav · Сообщение **slav** » 27 мар 2015, 19:00

SergSat писал(а):Оттуда же
IP Address 127.0.0.1 - 154,577 other sites hosted on this server

Я тоже часто отправляю настойчивых ботов-спамеров на их же Локалхост.
А в случае ДДОС-атаки так делают многие.

Вечный

Я уже многие годы спрашиваю - где корова, на которую играем? Ну заддоссили вас, ай-ай-ай, все пропало, гипс снимают, клиент уезжает. Ну и? Никому не нужно это ваше дц.

slav · Сообщение **slav** » 28 мар 2015, 01:11

Вечный писал(а):Я уже многие годы спрашиваю - где корова, на которую играем?

Похоже, что у тех, кто на базе DC собирает ботнеты.
Но, тут ещё интересно, что по поводу доссеров думает ФСБ, ЦРУ и т.п. Это уже не шутки с налоговой или правообладателями.

Вечный

ЦРУ, может, что и думает. Наши американские "коллеги" стараются ни одну бочку не пропустить. А вот ФСБ... Вот им делать больше нечего, кроме как разбираться, как один ресурс на 100 юзеров заддосил другой ресурс на 100 юзеров. Ну или на 10 000 юзеров. Вы посмотрите, сколько на Яндексе одномоментных юзеров, и подумайте, кого ддосят больше. И кто как реагирует. Яндекс усмехается, там даже поговорка на уровне руководства есть "мы перерабатываем электричество в деньги", а почти все "админы" дц как что, так сразу "мышку обидели, в норку нассали".
Очень хорошо видно в теме "борьбы" со спамом, да и в других тоже.

Так вот. ЧСВ, конечно, дело хорошее, но ФСБ мы все в йух не вперлись. Пора как-то смириться уже с этим.

flylinkdc · Сообщение **flylinkdc** » 07 авг 2015, 13:31

Админы хабов где сидят боты по раздаче вирусов (рис 1)
https://yadi.sk/i/3bHN8H-FiKcjK
Предлагаю их начать банить
Для этого вам нужен пользователь у которого часто в онлайне висит последняя бетка флая
и он видит IP всех юзеров (к нему проходит команда userIP)
в клиенте и указывается от какого юзера идет бан (рис 2)
https://yadi.sk/i/eB2e8lzqiKc7h и на вашем хабе ботов попадающих под детект AVDB больше не будет

Код: Выделить всё

[12:46:35] <FlyBot> *** 86.15.119.66 был полностью забанен наказал FlylinkDC-dev по причине: xexe :-) FlylinkDC-dev detect virus-bot! Nick:[ aDownloada ] IP: [86.15.119.66 ] Share: [ 50614874704 ] AVDB: Nick+Share+IP [Downloads\] Hub: dchub://dc.fly-server.ru |.
[12:58:19] <FlyBot> *** 78.94.245.166 был полностью забанен наказал FlylinkDC-dev по причине: xexe :-) FlylinkDC-dev detect virus-bot! Nick:[ PeterJackson ] IP: [78.94.245.166 ] Share: [ 5315445760 ] AVDB: Nick+Share [down\] Hub: dchub://dc.fly-server.ru |.

Если вам в ломы заводить такого юзера - дайте мне права на эту операцию
я буду сидеть на вашем хабе и банить этих гадов.

Кто согласен - создайте мне такого юзера и кидайте пароль + адрес хаба в почту pavel.pimenov@gmail.com
Кто не согласен - пишите почему.

Мультик©™

flylinkdc писал(а):Админы хабов где сидят боты по раздаче вирусов (рис 1)
https://yadi.sk/i/3bHN8H-FiKcjK

То есть, если я правильно понимаю, на рис. 1 на тех хабах (где открытые вкладки) вирусы?

Мультик©™

Паша, согласен что твоя инициатива необходима, нужно к скриптологам обратиться. Возможно они придумают что то более эффективное, без участия человека.

flylinkdc · Сообщение **flylinkdc** » 08 авг 2015, 10:48

Скриптологи в спячке ) также тут у меня нет человека - флай сам банит автоматом

aleksei · Сообщение **aleksei** » 08 авг 2015, 16:22

flylinkdc писал(а):Админы хабов где сидят боты по раздаче вирусов (рис 1)
https://yadi.sk/i/3bHN8H-FiKcjK
Предлагаю их начать банить
Для этого вам нужен пользователь у которого часто в онлайне висит последняя бетка флая
Кто не согласен - пишите почему.

такие интересные ,мама дорогая.
во-первых я понятия даж малейшего не представляю,какие там у вас щас бетки последние,я за эти мне слежу, абсолютно. скачал года 3 назад какуюто версию и все,она работает и ладно.да к томуже давно идет упор не на качество,а на количество сжираемой памяти. может к вам это и не относится(да и памяти вагон),но зачастую именно по этим соображениям я софт обновляю только в крайних случаях.
во-вторых,я только за искоренение этого дерьма,но когда я вот на 16 странице внизу в этой ветке попросил помочь настроить ваш скрипт,даж в личку писал после того как здесь в теме больше ничего вразумительного ответить не смогли, фиг вам,ничего конкретного что надо сделать,чтоб потом самого себя незаддосить до полного отруба инета, вы не написали. основные настройки которые должен был-указал,в остальном-не специалист,