Методы борьбы с ботами - распространителями вирусов

Kimbo · Сообщение **Kimbo** » 05 дек 2013, 22:12

LAV © писал(а):Нет смысла качать фильм из DC, если его можно просмотреть онлайн Вконтакте.

вы смотрите фильмы вконтактике? Ну музыку и игрушки норм, но фильмы... Есть же куча других мест где можно смотреть, хотя... большей части нужно что бы всё в одном было, так ведь меньше теложирнодвижений надо делать.

LAV © · Сообщение **LAV ©** » 05 дек 2013, 22:16

Учитывайте, что сейчас покупают в основном планшеты, ноутбуки и нетбуки, где качество воспроизводимого видео и звука играет последнюю роль. Смотрят сериальчики.
Сисблок с большим монитором или подключенным к нему телевизором - участь избранных и уже относится к разряду вымирающих динозавров.

Быстрый ответ

Нет доказательств, как нет и доказательств обратного. Однако, поскольку я вижу, откуда эти юзеры-боты и что они расшаривают, я предполагаю, что это уже готовый ботнет.
DC теряет популярность из-за многих причин. Но основные, ИМХО - 1)Падение цен на интернет, появление там кучи сервисов онлайн-просмотра, и в связи с этим падение популярности локалок, 2) постепенное превращение DC в "помойку". Но если на первое повлиять мы не можем, то на второе частично да. Поэтому я считаю, что есть смысл в попытках блокировать этих ботов. Вы же баните тех, кто шарит фэйковые 100 ТБ и более? вы же ограничиваете тех, кто шарит 0 байт? так в чем разница, можно и нужно и этих банить. Считаете бесссмысленным - ваше дело, я не собираюсь никого переубеждать. Просто не удивляйтесь потом, когда кто-то скажет "я ушёл с хаба пикник, ведь там же помойка". Ничего личного - просто для примера.

Быстрый ответ

Кстати, заодно уж скажу. Вот в соседней теме пытаются поднять популярность DC путем создания html-клиента, т.е. по сути клиента с рекламой. То есть мало того, что дц УЖЕ стало помойкой, эти люди хотят еще в эту помойку засунуть еще и рекламу. Наверняка при этом реклама будет на флэше и с прочими свистелками и перделками. Опять же ИМХО, но таким путём они хотят окончательно добить ДЦ. Не такими способами нужно поднимать популярность. Вообще я думаю, что падение это естественный процесс (юзер Вечный уже говорил об этом, и я согласен с ним). Но это всего лишь моё скромное ИМХО. Если что-то делается, то значит кому-то оно нужно. Наверняка кому-то понравится и клиент с рекламой, если его таки создадуд...

Мультик©™

Я эти вирусы проверял уже давно - есть 2 вида.
1. Не определяется не одним антивирусом, надо запустить, тогда касперский ловит. Стучится на сервер, где центр управления, с графиками, данными. Если узнают что их вычислили, сразу меняют адреса.
2. Каспер пропускает, но если нажать - проверить, обнаруживает сразу.
Думаю разослать эти 2 вида всем антивирусным компаниям.

LAV © · Сообщение **LAV ©** » 05 дек 2013, 23:22

Администрирую уже лет 7 много хабов (как локальных, так и инетных) и за все это время у меня было всего лишь пару обращений от юзеров по поводу ботов с вирусами. Причем были они именно на полностью локальных хабах, куда доступ из инета закрыт. Никто больше не обращался. А по поводу фейковых фильмов - обращений масса и с этим усиленно боролись.
Идет жуткое падение интереса к ресурсам, где можно скачать фильм (с музыкой еще получше). Это не только DС касается, но и торрентов, и внутренних кинопорталов. Упало раз в 10 по моим ощущениям.

Глупейшая инициатива с DC-клиентом, проигрывающим рекламу, может прийти только людям, не помнящим времен первых асечных клиентов, из которых русские умельцы патчами эту же рекламку с корнем выдирали.

На счет отправки антивирусным компаниям штампов вирусов - правильная инициатива.

Мультик©™

LAV © писал(а):На счет отправки антивирусным компаниям штампов вирусов - правильная инициатива.

Но если посмотреть с другой стороны - антивирусы в реальном времени не проверяют всё что закачивается с P2P

Неплохо бы разработчикам антивирусов подумать над этим.

LAV © · Сообщение **LAV ©** » 06 дек 2013, 03:08

Проверяют. Современные антивирусы сканируют весь входящий трафик, в том числе и из локалки.

flylinkdc · Сообщение **flylinkdc** » 25 янв 2014, 10:32

Всем привет.
Поздно заметил эту тему.
Давайте по обсуждаем способы блокировки подобного на уровне клиента?

Мои варианты
* Периодически ищем mkv.exe и т.д. и тех юзеров у кого такое нашлось помещаем в блокировку на скачку.
* На флай-сервере хранится список имен файлов (думаю они меняются реже в отличии от ТТХ) и если в результате поиска появляется такое имя - как-то помечаю его с тэгом подозрение на вирус.
* При открытии файл листа если в нем
- встретилось двойное расширение с exe
- в одном каталоге много exe файлов
- если разные exe файлы и один TTH - гарантированно вирус.

при таком детекте - имена файлов автоматом пересылаются на флай-сервер тем самым автоматически пополняя базу данных подозрительных объектов

Из видимых проблем - это замедлит открытие файл-листов.
т.к.и сейчас открытие подобного листа занимает около минуты на i7 (в шаре одного бот 1.8 лимона exe файлов)
но я планирую проверку статуса "я скачивал этот файл" унести в отдельный поток
он используется для подкраски папок...

В общем жду ваших предложений.

Быстрый ответ

flylinkdc писал(а):Периодически ищем mkv.exe и т.д. и тех юзеров у кого такое нашлось помещаем в блокировку на скачку.

Это не подходит, поскольку зафлудит хаб запросами на поиск.

flylinkdc писал(а):На флай-сервере хранится список имен файлов (думаю они меняются реже в отличии от ТТХ)

Имхо, не имеет смысла, т.к. имена файлов, как и ТТН, явно генерируются скриптом.
То есть получается, что подходит только последний вариант:

flylinkdc писал(а):если разные exe файлы и один TTH - гарантированно вирус.

Но дело в том, что там бывают не только exe, но и zip rar архивы. Причем архивы чаще. Поэтому, если разные названия файлов и один TTH - то это подозрительный юзер, которого стоило бы заблокировать.

flylinkdc писал(а):Из видимых проблем - это замедлит открытие файл-листов.

Не замечал тормозов. Хотя я много таких списков открывал, и оборудование моё не hi-end... Хотя, тут надо отметить, что у меня и не Флайлинк

flylinkdc · Сообщение **flylinkdc** » 25 янв 2014, 23:34

а у вас какой клиент?
есть конструктивные предложения кроме критики?

Быстрый ответ

А где вы тут обнаружили критику? то что в флае медленно открываются списки? так это вы же сами и написали. У меня грей.
Конструктивное предложение:

если разные названия файлов и один TTH - то это подозрительный юзер

Вот в этом направлении и надо пытаться что-то сделать - при старте скачки с юзера, сначала проверять его список.

flylinkdc · Сообщение **flylinkdc** » 26 янв 2014, 15:10

постоянная скачка файл-листов не ударит по трафу?
хотя если сделать опцией... на неделе потестирую

HackFresse · Сообщение **HackFresse** » 26 янв 2014, 23:06

Поправьте меня, если не так понял

1) Довольно большое число юзеров на хабе (нужно же будет учитывать популярность версии)
2) будут скачивать одни и те же файл-листы
3) от одних и тех-же ботов,
4) проводить один и тот же анализ этих самых файл-листов,
5) отсылать кучу сообщений на некий удалённый сервер и на основании ответа этого самого сервера
6) делать пометку в окне поиска?

flylinkdc · Сообщение **flylinkdc** » 27 янв 2014, 06:00

уже сейчас у флай-сервера есть база данных медиаинфы
из которой по TTH достается качество видео/аудио.

технически можно к базе добавить и признак вируса.
но как я понял TTH вирусов часто меняется (добавляются байтики - чтобы тупые антивирусы не детектили по хэшу)
а вот имена файлов относительно статичны - их и можно добавить в базу.
и если имя совпало - подкрашивать что файл подозрительный...
можно еще и размер...
в общем я пока и сам не знаю как лучше. пока пособираю такие файл-листы для их анализа.

HackFresse · Сообщение **HackFresse** » 27 янв 2014, 11:46

Я к тому, что очень много бесполезных одинаковых действий, которые только добавят тормозов клиентам (после ответов скачать файл-листы, просканировать-проанализировать, что-то спросить у сервера и получить ответ).

Уж лучше тогда просто тупо спрашивать у сервера мнение по результатам поисковых ответов, без скачивания файл-листов (отсылать хаб,ник/IP:port,запрос-ответ), и на основании частоты и схожести этих запросов делать какие-то выводы. И скачивать файл-листы на сервере. И взаимодействие с хабом по вопросу банов/блокировок.

Но всё равно остаётся вопрос, насколько оно нужнее основного функционала.

flylinkdc · Сообщение **flylinkdc** » 27 янв 2014, 12:16

Скачка файл-листов на сервере - интересно. у кого есть готовый или встречал подобный скрипт?
у меня простаивает тестовый VPS

буду пока качать файл-листы и искать подобные шары (разные имена у exe и одинаковый TTH)
можно еще качать несколько файликов
cкармливать их онлайн - сервисам
http://virustotal.com
http://virusscan.jotti.org

Они найдя вирус разошлют экземпляры в антивирусные лаборатории а те в свою очередь пополнят базы данных...
но тут наверно сработают лимиты - у API virustotal точно есть лимит на кол-во переданных файлов.

HackFresse · Сообщение **HackFresse** » 27 янв 2014, 15:47

Давно не интересовался, но раньше делал так:

Немного поправить под себя http://sourceforge.net/projects/pro-search/ , комбайн на Perl
Для автоматической обработки была идея использовать демона EiskaltDC++ с управлением по json-rpc

Для разовых закачек файл-листов -- выбрать в грейлинке всех юзеров хаба, правой кнопкой - скачать файлы, потом периодически вызывать "закрыть все файл-листы".

Из всех виндовых клиентов тогда только у грея было наибольшее количество одновременно открытых файл-листов, все другие падали раньше и тормозили больше.
Очень помогла бы в этом деле настройка "не открывать файл-листы после скачивания" (файл не открывается - клиент не тормозит)

flylinkdc · Сообщение **flylinkdc** » 27 янв 2014, 16:02

Спасибо. вечером гляну pro-search

Быстрый ответ

flylinkdc писал(а):постоянная скачка файл-листов не ударит по трафу?

Насколько я замечал, грей перед началом закачки всегда сначала скачивает список.

Быстрый ответ писал(а):если разные названия файлов и один TTH - то это подозрительный юзер

Кстати, ТТН чаще всего тоже разные, видимо система ботнета совершенствуется.
Поэтому ИМХО остается только один надежный способ определения подозрительных файлов, а именно тот что я выложил в заглавном посте - сравнение по длине файла.
Если клиент умеет lua, наверно не сложно будет перевести под него мой скрипт.

Delion · Сообщение **Delion** » 28 янв 2014, 08:39

Я фигею с вас, господа.
Лет пять или шесть назад предлагал некоему PPA прикрутить к RSX++ sqlite, чтоб он, значит, побыстрее работал. Мощный, интересный клиент. Ответ был "нафик надо". А все эти годы в RSX++, внезапно, был автопоиск, автоматическое скачивание файллистов на проверку и ещё прорва фич от всякой дряни...
Теперича читаю тему и ловлю лютое дежа вю.
Ах да, нынче мне приснилось, что структура список файлов у сиих ботов некоторым образом похожа на структуру левых файллистов у древних Грейлинков(как там что сейчас не знаю).
Ну и "зараженные" хабы, сколько влезло на экран:
http://s017.radikal.ru/i422/1401/d8/3eb1209eb03d.png

Delion · Сообщение **Delion** » 28 янв 2014, 09:06

Ну да это лирика.
Что касается практики, то наиболее надёжный способ детектирования - скачивать все файллисты и проверять их на предмет n несильно различных(а лучше различных на какое-то определённое число байт) в размере файлов. Какой-либо поиск по именам файлов не канает.

flylinkdc · Сообщение **flylinkdc** » 28 янв 2014, 11:58

Delion писал(а):Ну да это лирика.
Что касается практики, то наиболее надёжный способ детектирования - скачивать все файллисты и проверять их на предмет n несильно различных(а лучше различных на какое-то определённое число байт) в размере файлов. Какой-либо поиск по именам файлов не канает.

Почему поиск по именам не канает?
ведь сама идея подобных файл-листов, чтобы файлы находили по именам.
на стороне клиента открывать все файл-листы - нагрузка на компы конечного пользователя.
у меня есть один файл-лист с вирусами - 1.8 лимона файлов и в открытом виде xml весит 200мб
только тупо распарсить такой файл это тяжелая операция.
в вашем варианте нужно еще скачать несколько похожих файлов и сравнить байты...
пока не понимаю - алгоритм не прозрачный.

p.s.
некий PPA - это я и есть

добавлять базу данных во все клиенты это очень хлопотно - я и на StrongDC-sqlite подзабил из-за этого и развиваю теперь только флайлинк.
также в данной задаче БД особо ничего не решает.

Быстрый ответ

Delion писал(а):проверять их на предмет n несильно различных(а лучше различных на какое-то определённое число байт) в размере файлов

Я вот тоже ловлю дежавю. Ты хоть смотрел заглавный пост в этой теме и скрипт, который там выложен? Твоя идея давно реализована, потом не говори, что это ты ее изобрёл

Осталось теперь прикрутить этот скрипт к RSX или что-то другое, умеющее LUA. Возьмёшься?

Быстрый ответ

flylinkdc писал(а):Почему поиск по именам не канает?

Да потому что этих имён файлов миллиарды, а может и триллионы. Зачем хранить в своей базе такой огромный объём? Ведь в одном только списке их 1.8 лимона.
Вы так жалеете бедного конечного пользователя, что готовы перенести всю нагрузку с его компов на свои? Я вот почему-то думаю, что не потянете вы такую нагрузку. Просто потому, что пользователей очень много. Списков файлов еще больше. Мой прогноз, что ваши сервера захлебнутся через месяц или два, но попробовать никто не мешает.