Методы борьбы с ботами - распространителями вирусов

Общение админов хабов и их юзеров.
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

aleksei писал(а):а терь вопрос , значит пришел и вижу шота инет както лагает. а тут смотрю,лагает не инет ,а лагает роутер. ну смотрю лог и вижу порядка 40-50 запросов на 411 порт в секунду,запросы идут пачками с многих ипов,и локлаьных в том числе. после выруба скрипта все приходит в норму.
Так, а вопрос-то где? :-D
aleksei
Сообщения: 76
Зарегистрирован: 14 май 2013, 14:37
Хаб: dchub://v-l.es
Контактная информация:

Сообщение aleksei »

вопрос прекрасно понятен из выше изложенного. что делать со скриптом для нормлаьной его работы?
Аватара пользователя
Chavy
Сообщения: 46
Зарегистрирован: 12 май 2014, 13:10

Сообщение Chavy »

Наверно вирусораспространителей на хабе много, раз столько ответов приходит
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

RoLex писал(а):Если еще есть вопросы - пожалуйста. :-)
Что значит эта запись и как с ней бороться?

Код: Выделить всё

[19:27:13] <OpChat> Донесение на офлайн пользователя AVDB ][ Причина: Following users were detected as virus spreaders according to AVDB: Angel4you ][ Ник: TEPinger ][ IP: 5.135.96.214 ][ Страна: CH=Switzerland
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

aleksei писал(а):вопрос прекрасно понятен из выше изложенного.
выше вопроса, и вопросительного знака, нет.
aleksei писал(а):что делать со скриптом для нормлаьной его работы?
а здесь вопрос есть. Для нормальной работы - настроить под себя, свой комп/роутер.
aleksei
Сообщения: 76
Зарегистрирован: 14 май 2013, 14:37
Хаб: dchub://v-l.es
Контактная информация:

Сообщение aleksei »

шо значит под себя? в натсройках ест ь2 опции,я и их даж уточнил на всяк случай.
Аватара пользователя
RoLex
Сообщения: 51
Зарегистрирован: 01 апр 2011, 09:39
Хаб: nmdcs://russia.feardc.net:411
Откуда: Швеция
Контактная информация:

Сообщение RoLex »

slav писал(а):Что значит эта запись и как с ней бороться?
Мой пингер шлет рапорты о найденых зараженных пользователях на хабах которые он посещает, и где не стоит антивируса (если у тебя стоит антивирус Ledokol то это баг который я исправил в версии 2.8.5, релиза еще нет, пока в разработке @dev). Если твой скрипт не детектит этого пользователя то скорее всего тот не отвечает на поисковые запросы антивируса, в Ledokol есть команда !avdetforce <nick>, используй ее для принужденного детекта.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

RoLex, ясно. Спасибо за разъяснения.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

AVDB уже долго не работает в связи с DDoS хоста
т.к. этот урл встроен во флайлинки
то все юзера в логах получают вот такую ошибку:
их конечно это не напрягает сильно но нехорошо.

[2015-03-19 18:15:19] InternetOpenUrl [http://www.te-home.net/avdb.php?do=load ... 1&copath=1] error = Операция успешно завершена.[error: 0]
[2015-03-19 18:15:19] [Step ] [Sync Antivirus DB] Antivirus DB error download. http://www.te-home.net/avdb.php?do=load ... 1&copath=1 [3087 ms]
[2015-03-19 18:15:19] [Stop] [Sync Antivirus DB] [8 ms, Total: 3095 ms]

Что будем делать?
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

flylinkdc писал(а):Что будем делать?
Искать Ролекса… :-[
Переносить данные на какой-нибудь более защищённый сервер.
Аватара пользователя
Kimbo
Сообщения: 772
Зарегистрирован: 09 авг 2010, 18:05

Сообщение Kimbo »

flylinkdc писал(а):в логах получают вот такую ошибку
так вот что за ерунда постоянно мне глаза мозолит, а я то думал...
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Ролексу отписал в личку - жду
также пока во флаях отключил загрузку базы с ресурса http://www.te-home.net
Аватара пользователя
SergSat
Сообщения: 153
Зарегистрирован: 14 май 2010, 20:12
Хаб: dchub://sergsat.ru
Откуда: Новосибирск
Контактная информация:

Сообщение SergSat »

flylinkdc писал(а):Ролексу отписал в личку - жду
также пока во флаях отключил загрузку базы с ресурса http://www.te-home.net
А вы пробовали перейти по нему?

Изображение
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

SergSat писал(а):А вы пробовали перейти по нему?
Скорее всего, это редирект для защиты от DDOS-атаки.
А информацию про домен читайте тут http://whois.domaintools.com/te-home.net
Created on 2006-08-20 - Expires on 2015-08-20 - Updated on 2014-07-22 (Домен продлён в июле 2014 до августа 2015)
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

У меня есть много версий за что и кто могут DDOS-ить разработчика Верлихаба.
Но, только к одной я больше всего склоняюсь. Ролекс разработал ПО, которое реально зацепило распространителей вирусов (через вирус и делается возможность ддосить с чужих компов). Разрабы доссовских програм мстят Ролексу. ДДОСы на сервера ФлайЛинка по той же причине. Флай поставил в своём клиенте туже самую антивируску.

P.S. Про наличие скриптов, через которые тоже можно доссить мне известно. Но, я думаю, что эти ддосеры делают через ехе-файлы атаки.
Аватара пользователя
SergSat
Сообщения: 153
Зарегистрирован: 14 май 2010, 20:12
Хаб: dchub://sergsat.ru
Откуда: Новосибирск
Контактная информация:

Сообщение SergSat »

А смысл exe файла на линухе.
slav писал(а):А информацию про домен читайте тут http://whois.domaintools.com/te-home.net
Оттуда же
IP Address 127.0.0.1 - 154,577 other sites hosted on this server
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

SergSat писал(а):Оттуда же
IP Address 127.0.0.1 - 154,577 other sites hosted on this server
Я тоже часто отправляю настойчивых ботов-спамеров на их же Локалхост.
А в случае ДДОС-атаки так делают многие.
Аватара пользователя
Вечный
Сообщения: 1098
Зарегистрирован: 24 авг 2009, 17:27

Сообщение Вечный »

Я уже многие годы спрашиваю - где корова, на которую играем? Ну заддоссили вас, ай-ай-ай, все пропало, гипс снимают, клиент уезжает. Ну и? Никому не нужно это ваше дц.
Аватара пользователя
slav
Сообщения: 617
Зарегистрирован: 15 янв 2012, 19:12
Хаб: adc://kremlin.ru
Откуда: Интернет

Сообщение slav »

Вечный писал(а):Я уже многие годы спрашиваю - где корова, на которую играем?
Похоже, что у тех, кто на базе DC собирает ботнеты.
Но, тут ещё интересно, что по поводу доссеров думает ФСБ, ЦРУ и т.п. Это уже не шутки с налоговой или правообладателями. :-)
Аватара пользователя
Вечный
Сообщения: 1098
Зарегистрирован: 24 авг 2009, 17:27

Сообщение Вечный »

ЦРУ, может, что и думает. Наши американские "коллеги" стараются ни одну бочку не пропустить. А вот ФСБ... Вот им делать больше нечего, кроме как разбираться, как один ресурс на 100 юзеров заддосил другой ресурс на 100 юзеров. Ну или на 10 000 юзеров. Вы посмотрите, сколько на Яндексе одномоментных юзеров, и подумайте, кого ддосят больше. И кто как реагирует. Яндекс усмехается, там даже поговорка на уровне руководства есть "мы перерабатываем электричество в деньги", а почти все "админы" дц как что, так сразу "мышку обидели, в норку нассали".
Очень хорошо видно в теме "борьбы" со спамом, да и в других тоже.

Так вот. ЧСВ, конечно, дело хорошее, но ФСБ мы все в йух не вперлись. Пора как-то смириться уже с этим.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Админы хабов где сидят боты по раздаче вирусов (рис 1)
https://yadi.sk/i/3bHN8H-FiKcjK
Предлагаю их начать банить
Для этого вам нужен пользователь у которого часто в онлайне висит последняя бетка флая
и он видит IP всех юзеров (к нему проходит команда userIP)
в клиенте и указывается от какого юзера идет бан (рис 2)
https://yadi.sk/i/eB2e8lzqiKc7h и на вашем хабе ботов попадающих под детект AVDB больше не будет

Код: Выделить всё

[12:46:35] <FlyBot> *** 86.15.119.66 был полностью забанен наказал FlylinkDC-dev по причине: xexe :-) FlylinkDC-dev detect virus-bot! Nick:[ aDownloada ] IP: [86.15.119.66 ] Share: [ 50614874704 ] AVDB: Nick+Share+IP [Downloads\] Hub: dchub://dc.fly-server.ru |.
[12:58:19] <FlyBot> *** 78.94.245.166 был полностью забанен наказал FlylinkDC-dev по причине: xexe :-) FlylinkDC-dev detect virus-bot! Nick:[ PeterJackson ] IP: [78.94.245.166 ] Share: [ 5315445760 ] AVDB: Nick+Share [down\] Hub: dchub://dc.fly-server.ru |.
Если вам в ломы заводить такого юзера - дайте мне права на эту операцию
я буду сидеть на вашем хабе и банить этих гадов.

Кто согласен - создайте мне такого юзера и кидайте пароль + адрес хаба в почту pavel.pimenov@gmail.com
Кто не согласен - пишите почему.
Аватара пользователя
Мультик©™
Сообщения: 226
Зарегистрирован: 17 мар 2011, 21:37
Хаб: dchub://prime-hub.ru

Сообщение Мультик©™ »

flylinkdc писал(а):Админы хабов где сидят боты по раздаче вирусов (рис 1)
https://yadi.sk/i/3bHN8H-FiKcjK
То есть, если я правильно понимаю, на рис. 1 на тех хабах (где открытые вкладки) вирусы?
Аватара пользователя
Мультик©™
Сообщения: 226
Зарегистрирован: 17 мар 2011, 21:37
Хаб: dchub://prime-hub.ru

Сообщение Мультик©™ »

Паша, согласен что твоя инициатива необходима, нужно к скриптологам обратиться. Возможно они придумают что то более эффективное, без участия человека. :-)
Последний раз редактировалось Мультик©™ 12 авг 2015, 22:44, всего редактировалось 1 раз.
Аватара пользователя
flylinkdc
Сообщения: 427
Зарегистрирован: 15 дек 2013, 10:26
Хаб: dchub://dc.fly-server.ru
Откуда: Караганда -> Липецк
Контактная информация:

Сообщение flylinkdc »

Скриптологи в спячке ) также тут у меня нет человека - флай сам банит автоматом
aleksei
Сообщения: 76
Зарегистрирован: 14 май 2013, 14:37
Хаб: dchub://v-l.es
Контактная информация:

Сообщение aleksei »

flylinkdc писал(а):Админы хабов где сидят боты по раздаче вирусов (рис 1)
https://yadi.sk/i/3bHN8H-FiKcjK
Предлагаю их начать банить
Для этого вам нужен пользователь у которого часто в онлайне висит последняя бетка флая
Кто не согласен - пишите почему.
такие интересные ,мама дорогая.
во-первых я понятия даж малейшего не представляю,какие там у вас щас бетки последние,я за эти мне слежу, абсолютно. скачал года 3 назад какуюто версию и все,она работает и ладно.да к томуже давно идет упор не на качество,а на количество сжираемой памяти. может к вам это и не относится(да и памяти вагон),но зачастую именно по этим соображениям я софт обновляю только в крайних случаях.
во-вторых,я только за искоренение этого дерьма,но когда я вот на 16 странице внизу в этой ветке попросил помочь настроить ваш скрипт,даж в личку писал после того как здесь в теме больше ничего вразумительного ответить не смогли, фиг вам,ничего конкретного что надо сделать,чтоб потом самого себя незаддосить до полного отруба инета, вы не написали. основные настройки которые должен был-указал,в остальном-не специалист,
Последний раз редактировалось aleksei 08 авг 2015, 16:34, всего редактировалось 5 раз.
Ответить