Методы борьбы с ботами - распространителями вирусов

Tsd · Сообщение **Tsd** » 05 сен 2015, 12:20

flylinkdc писал(а):можно прокомментировать список?

Это то, что сохраняет скрипт в файл. Там блокированные ники и ипы.

flylinkdc · Сообщение **flylinkdc** » 05 сен 2015, 12:28

подробнее
какой скрипт?
и какие действия предлагается предпринять?

Tsd · Сообщение **Tsd** » 05 сен 2015, 12:33

flylinkdc писал(а):подробнее
какой скрипт?
и какие действия предлагается предпринять?

Скрипт на первой странице темы. Моё видение: по таймеру удалять из файла/таблицы устаревшие ипы/ники, благо и там и там есть запись os.time

Быстрый ответ

Добавлена очистка

dimetro · Сообщение **dimetro** » 08 сен 2015, 16:55

Похоже скрипт еще с прошлого обновления не работает. Подгружается База и никого не банит, а в промежутке или даже через минуту буквально после обновления баз, банит флаем ботов., скрипт не трогает их.. И еше глянул antifake.dat там Пусто.

Код: Выделить всё

[2015-09-08 12:00] <•[StealthBot]•> AVDB loaded 3806 items
[2015-09-08 12:35] <•[StealthBot]•> *** Genisis71 с IP 76.217.133.183 был кикнут FlylinkDC-dev.
[2015-09-08 12:43] <•[StealthBot]•> *** nikalosisigh с IP 5.18.96.127 был кикнут FlylinkDC-dev.
[2015-09-08 12:58] <•[StealthBot]•> AVDB loaded 4194 items (total 0)

[15:58:23] <•[StealthBot]•> AVDB loaded 4215 items (total 0)
[16:00:51] <•[StealthBot]•> *** purtokll99 с IP 188.25.208.75 был кикнут FlylinkDC-dev.
[16:09:40] <•[StealthBot]•> *** vawannn с IP 217.118.81.29 был кикнут FlylinkDC-dev.
[16:12:04] <•[StealthBot]•> *** ienayren с IP 93.115.84.125 был кикнут FlylinkDC-dev.
[16:17:30] <•[StealthBot]•> *** Sandrabellaa с IP 87.78.201.253 был кикнут FlylinkDC-dev.
[16:18:42] <•[StealthBot]•> AVDB loaded 4217 items (total 0)
[16:22:16] <•[StealthBot]•> *** purtokll99 с IP 188.25.208.75 был кикнут FlylinkDC-dev.
[16:42:44] <•[StealthBot]•> *** purtokll99 с IP 188.25.208.75 был кикнут FlylinkDC-dev.
[16:48:44] <•[StealthBot]•> AVDB loaded 4218 items (total 0)

flylinkdc · Сообщение **flylinkdc** » 08 сен 2015, 17:02

а вы обновили скрипт?

dimetro · Сообщение **dimetro** » 08 сен 2015, 17:54

flylinkdc писал(а):а вы обновили скрипт?

конечно Да

Быстрый ответ

09.09.2015
+ сохранение при выходе
+ очистка памяти
+ если уже есть бан, то не баним
+ баним сразу при старте
* если баним, то таблицу тоже сохраняем

flylinkdc · Сообщение **flylinkdc** » 09 сен 2015, 12:01

Скрипту пока лежать на github и собирать звездочки и PR

AlienKiller · Сообщение **AlienKiller** » 22 ноя 2015, 18:55

Скрипт версии 09.09.2015 Не блокирует скачку с вирусботов. Настройки в сплоере, почти ничего не менял. Скачка онлайн базы идёт нормально. FL нормально помечает вирусботов Nick+Share+IP
-----
Уточнение: скрипт блокирут соединение с вирусботами только если юзер сидит на хабе в пассиве. При скачке в активе с вирусботов всё прекрасно скачивается. Видимо в активе запросы на отдачу файл-листа идут не через хаб а между юзерами. Такая блокировка меня не устраивает. Придётся включать режим бана вирусботов, чтобы их не было вообще. Мне они были нужны для массовки)).

Хорошо бы добавить особенности работы скрипта в его описание. Возможно лучше вообще оставить только режим бана вирусботов, потому что ограничение скачивания с них только юзерам в пассиве, это очень узкое ограничение т.к. большинство всё же сидят в активе.

Спойлер

local sHubIp = "127.0.0.1" -- изменить на свой IP
local iHubUdpPort = SetMan.GetString(4)
local sHubBot = SetMan.GetString(21)
local iMode = 2
-- Режим работы. 0 - локальный детектор + онлайн-база, 1 - только локальный, 2 - только онлайн
-- Для работы онлайн-режима нужно скачать Curl и положить его в папку "ptokax/curl"
local AvdbTimer = 111
-- Таймер обновления базы, в минутах
local AvdbClear = 30
-- Таймер очистки файла базы, в днях
local iBan = 0
-- Что делать с обнаруженными ботами. Если число больше 0, то баним на такое кол-во ДНЕЙ. Если 0, то только блочим соединения.
local sReason = "Autoban virus-bot"
-- Текст для причины бана
local fFile = Core.GetPtokaXPath().."scripts/antifake.dat"
-- Имя файла для сохранения таблицы блокировок
local tPrefix = -- префикс (начало) строки
{ "100 best","download", "free", "driver", "top 100", "top girl", "18 girl", "sexy girl","top wallpaper", "sexy wallpaper", "anti virus", "0day", "apple","microsoft", "nero","tools", "windows", "office", "adobe", "google", "android", "crack", "patch", "keygen", "serial", "trojan", "torrent", "advanced", "ahead", "collection", "wallpaper", "porn", "ptsc", "pthc", "preteen", "lolita", "sex", "img_ .jpg", "01 .mp3"
}
local tSuffix = {".exe",".zip",".rar",} -- суффикс (конец) строки
-- Скрипт перебирает ВСЕ префиксы и суффиксы и соединяет их в поисковый запрос.
-- Соответственно, для выдачи результата нужно подождать какое-то время .
local FakeTimer = 30
-- Таймер поиска, в секундах
local FakeDiff = 256
-- Разница размера файлов в результатах поиска, в байтах. Увеличение может привести к ложным срабатываниям.
local FakeCnt = 50
-- Счетчик ответов на поиск. Если юзер ответил на наш поиск более этого числа раз, то блокируем его. Уменьшение может привести к ложным срабатываниям.

HackFresse · Сообщение **HackFresse** » 23 ноя 2015, 08:47

многократно и в этой теме, и на хабе разработчиков (dc.fly-server.ru) я повторял простую схему:
С http://dchublist.ru/forum/viewtopic.php?p=21033#p21033 и дальше по теме,
http://dchublist.ru/forum/viewtopic.php?p=24491#p24491:

Кажется, кто-то не осилил простую схему
1) юзер ищет "на моем хабе" -- бот отвечает "на моем хабе"

2) юзер ставит на закачку "на моем хабе" -- невечно (до успешного скачивания) зацикленные соединения с ботом "на моем хабе" не проходят.
Ура, блестящая победа над вирусами "на моем хабе" , "Да достаточно уже того, что на моём хабе количество дерьма уменьшилось" ?

3) дц-клиент производит поиск альтернатив на других хабах.
Внезапно оказывается, что среднее число подключенных хабов у юзера - 15, у ботовода - 50+. А хабов, где банят ботоводов, не особо-то и много.
Файл с заразой скачается успешно с довольно большой вероятностью, и с довольно большой вероятностью попадает в шару к скачавшему юзеру.
А тут внезапно оказывается, что шара на всех хабах с большой вероятностью общая

4) в итоге юзер ставит на закачку "на моем хабе" , качает на чужом хабе, и становится на раздачу "на моем хабе"

5) "на моём хабе количество дерьма уменьшилось"? Да. Намного? Ну уменьшилось же!

А вот

Хорошо бы добавить особенности работы скрипта в его описание. Возможно лучше вообще оставить только режим бана вирусботов, потому что ограничение скачивания с них только юзерам в пассиве, это очень узкое ограничение т.к. большинство всё же сидят в активе.

-- это просьба признаться в том, что без банов скрипт не только бесполезен, но и вреден, http://dchublist.ru/forum/viewtopic.php?p=21070#p21070

Из-за того, что боты висят в онлайне и отвечают на поисковые запросы, PROFIT даже на этом одном хабе с установленным скриптом не наступает. Файлы продолжают скачиваться через другие хабы и dht, появляется дополнительная нагрузка на хаб в виде циклических бесполезных запросов поиска по ттх и циклических запросов на установление соединения c ботом.

Мультик©™

HackFresse писал(а):многократно и в этой теме, и на хабе разработчиков (dc.fly-server.ru) я повторял простую схему:
С viewtopic.php?p=21033#p21033 и дальше по теме,
viewtopic.php?p=24491#p24491:

Проблемы не только с этим, сам алгоритм несовершенен. Много ложных детекторов. Определять только количество файлов exe, zip,rar и т.д. .... Я Паше писал, что можно было бы срабатывание на соотношение ник+шара+ip сделать от 3-х, 4-х, меньше было бы вопросов. А так получается вирусов нет а детектор срабатывает, пользователи пугаются.

aleksei · Сообщение **aleksei** » 06 дек 2015, 15:42

подскажите,где можно,если конеш можно,найти никнеймы самых распространенных ботов . дело в том что буквально с недавнего времени скрипт начал банить совершенно новые ,ничем не примечательные, никогда раньше не светившиеся у бота,ники. их правдо не много,1-2 за сутки, настройки не трогал никакие.
приведу примеры последние

Код: Выделить всё

37.151.31.196 с ником AllaAvto был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 08:39:16 ] <freeline-boteg> Фэйк-ботов заблокировано: 1
[2015-12-05 22:41:30 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:44:09 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:53:53 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[1:09:09] <freeline-boteg> 78.111.63.80 с ником amelito был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[4:53:38] <freeline-boteg> 5.18.144.17 с ником User542242 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot

может кто подтвердить,что это точн боты?

flylinkdc · Сообщение **flylinkdc** » 06 дек 2015, 15:53

База вирусных ботов тут.
http://www.te-home.net/avdb.php?do=load ... 1&copath=1

открой шару у юзеров и проверь - правда там вирусня или нет

dimetro · Сообщение **dimetro** » 06 дек 2015, 21:06

aleksei писал(а):подскажите,где можно,если конеш можно,найти никнеймы самых распространенных ботов . дело в том что буквально с недавнего времени скрипт начал банить совершенно новые ,ничем не примечательные, никогда раньше не светившиеся у бота,ники. их правдо не много,1-2 за сутки, настройки не трогал никакие.
приведу примеры последние
Код: Выделить всё37.151.31.196 с ником AllaAvto был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 08:39:16 ] <freeline-boteg> Фэйк-ботов заблокировано: 1
[2015-12-05 22:41:30 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:44:09 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[2015-12-05 22:53:53 ] <freeline-boteg> 159.148.182.217 с ником dmitriy31 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[1:09:09] <freeline-boteg> 78.111.63.80 с ником amelito был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot
[4:53:38] <freeline-boteg> 5.18.144.17 с ником User542242 был забанен на 35 дней, наказал freeline-boteg по причине: Autoban virus-bot

может кто подтвердить,что это точн боты?

Версию скрипта давно обновлял-скачай последнюю, с никами проблем не было в ней.. http://prntscr.com/9b1tia вот сидят на месте

aleksei · Сообщение **aleksei** » 07 дек 2015, 18:15

ну как была так и ест ьот 9 сентября версия. посмотрел-все боты ,дмитрий только этот в них не числится

dimetro · Сообщение **dimetro** » 07 дек 2015, 22:31

aleksei писал(а):ну как была так и ест ьот 9 сентября версия. посмотрел-все боты ,дмитрий только этот в них не числится

у тебя он и локально ищет +еше к базе? вот если режим =2 работать с базой только-проблем нет.

Быстрый ответ

AlienKiller писал(а):При скачке в активе с вирусботов всё прекрасно скачивается.

Да, есть такое - исправил, можно качать обновленную версию.
Добавил также пояснение насчёт UDP порта.

aleksei · Сообщение **aleksei** » 09 дек 2015, 16:08

он ищет только локально у меня,потому как если выставить и с базы чтоб проверял,мне пишет типа нет доступа к папке

Код: Выделить всё

curl/temp

хотя уже права всем открыл.

RoLex · Сообщение **RoLex** » 18 апр 2016, 20:44

Небольшое обновление для первого поста: Думаю можно сменить название Antivirus на Ledokol. Тут кстати последняя версия, Ledokol 2.8.9.16 > http://www.te-home.net/?do=work&id=ledokol&file=102

ovaok · Сообщение **ovaok** » 07 фев 2017, 02:16

хаб allavtovo.ru ник (game--server)_R192
ник -GAMER_PRO_R870

хаб dc.milenahub.ru ник -GAMER_PRO_R271
ник (game--server)_R302
ник -GAMER_PRO_R315

хаб dc.filimania.com ник (game--ser_R674
ник -GAMER_PRO_R359

хаб artcool.org ник (game--server)

хаб dc.tiera.ru ник (game--ser_R367
ник (game--server)
ник -GAMER_PRO
хаб dc.fly-server.ru ник (game--ser_R159
ник -GAMER_PRO_R208

расшарены папки установок разных игр, в каждой папке вирус autorun.exe

переподвыподверт

:[StealthBot]:> Вы были временно забанены на этом хабе. Вам осталось ждать: 23 часов 59 мин 44 сек.
IP: *
Причина: Autoban virus-bot

<# Медный Всадник> You have been kicked because: Virus and illegal pornography spreaders are not welcome here _ban_3d

<Джон_Флинт> Вам запрещен вход на этот хаб.:

[*] Ник: *
[*] IP: *
[*] Шара: 3738231021753 [3.40 Тб]
[*] Причина: Сгинь галимый вирус _ban_30d
[*] Время: Осталось 1 неделя 4 дней

Доброго времени суток. Нынче на некоторых хабах из топ-10 пошла мода использовать бота, банящего за распространение вирусов и ггнухи.
Так вот просьба к адменам: допилите сие чудо, чтоб оно указывало в причине, к какому конкретно файлу оно доколупалось.
В почти помершем DC 30-ти дневный бан хз за что - это прям то что надо)

RoLex · Сообщение **RoLex** » 05 окт 2021, 21:01

@ переподвыподверт

Без проблем помогу, решу все проблемы. Дело только в том что ты не указал ник или ИП. Поиск по "переподвыподверт" или "3738231021753" ничего не выдал.

Единственное что нашел сегодня с UA (судя по твоему профилю - Откуда: Харьков):

[2021-10-05 15:48:17] <# Feed> AVDB update from 51.83.175.243.FR: ss5kh | 46.150.7.81.UA | 2695393246668 = 2.45 TB | video\pron\JOI\JOI & CEI Rus SUBS\Incest.mp4 | YSAGOLUJLCJS6JEHDHSMT2QLI74JK65WZF7LTVI

Оно?

переподвыподверт

RoLex писал(а): ↑05 окт 2021, 21:01 Оно?

100 пудов. Так а в причине оно указывать не умеет?
з.ы. Если чё, ролик постановочный, актрисса совершеннолетняя.

Методы борьбы с ботами - распространителями вирусов

Проблема, не блокируется скачка с вирусботов

Re: Методы борьбы с ботами - распространителями вирусов

Re: Методы борьбы с ботами - распространителями вирусов

Re: Методы борьбы с ботами - распространителями вирусов