Страница 1 из 19

Методы борьбы с ботами - распространителями вирусов

Добавлено: 08 дек 2012, 00:39
Быстрый ответ
Суть проблемы ясна из этих скриншотов:
Спойлер
ИзображениеИзображениеИзображение
Изображение
Пояснения.

Как видите, расшаривается большое количество файлов, 30 - 50 тысяч, со всякими завлекающими именами, чтобы проще было найти. TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.

Чтобы не было лишних сомнений - такие боты представлены на всех крупных хабах. Не верите - проверьте. (а также посмотрите последний скриншот)
Думаю, излишне говорить, что такие вещи сильно бьют по всей системе DC++, так как ничего не подозревающие хомячки скачивают эти трояны и становятся частью ботнета, или у них крадут пароли и т.д. и т.п.

Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально.

Ну и наконец, не прошло и года, как мы изготовили скрипт для борьбы с этой заразой, вам остается только скачать и запустить
Скрипт "Anti Fake-bot" для PtokaX, автор Быстрый ответ, во вложении внизу.

Скрипт "Ledokol" для Verlihub by RoLex: Здесь
Или здесь
Описание AVDB by RoLex: Прочитать

Добавлено: 08 дек 2012, 17:19
Kimbo
Быстрый ответ писал(а):Это могут быть exe, а могут быть и архивы - zip, rar и т.д.
запрещай сидеть с шарой из одних этих файлов *CRAZY*
если у юзера % этих файлов превышает в шаре, то на йух их посылай "Fuck you troyan luZer *TROLL* "

Добавлено: 09 дек 2012, 13:20
Ren©o
Быстрый ответ, думаю даже за деньги не найдешь людей. Нужно потратить очень много ресурсов, а выхлопа как бы вообще не будет. Пользователям нужно - пускай они эти и занимаются, логично?

Добавлено: 09 дек 2012, 13:34
Kimbo
Ren©o писал(а):логично?
нет!
Ren©o писал(а):Нужно потратить очень много ресурсов
каких ещё ресурсов?
Ren©o писал(а):думаю даже за деньги не найдешь людей.
А ты предлагал, что так пишешь?)
P.S. мне говорят, что это уже полноценный бот нужен, одним скриптом не отделаться, хотя можно, но нагрузка на хаб будет, лучше или lua + клиент или отдельный бот.

Добавлено: 09 дек 2012, 13:46
Ren©o
Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...
Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему. И прогер писать такой сервак ниодин месяц. Чего не логичного?

Добавлено: 09 дек 2012, 13:52
Kimbo
Ren©o писал(а):Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему.
*ROFL* *ROFL* *ROFL* *ROFL* какой сервер, ты о чём?)) Обычный грейлинк (к примеру) берёшь, пишешь скрипт на lua и всё, он сам всё будет делать, какой канал, а темболее мощный сервер и канал, ты о чём?)
Ren©o писал(а):Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...
да ладно, где? :-)

Добавлено: 09 дек 2012, 16:14
Ren©o
Kimbo, не собираюсь с вами спорить.
Быстрый ответ, вы недооцениваете масштабов задумки. На простом грейлинке и lua скрипте, как говорит Kimbo, такое не сделать, все повиснет и загнется. И потом чтобы был эффект, чистить надо все хабы, а не один, или запретить пользователям сидеть на нескольких хабах.

Добавлено: 09 дек 2012, 16:45
Kimbo
Ren©o писал(а):запретить пользователям сидеть на нескольких хабах.
а это глупо.
а с троянами я боролся раньше "глупо", а точнее просто банил страны забугорных юзверей у которых эти трояны чаще всего в шаре находил, US, RO, FR, DE тип таких стран, чаще у румын и америкосов эти трояны сидят в шаре

Добавлено: 09 дек 2012, 19:07
Emperio
Да, это глупо..., также глупо как и банить страны забугорных юзверей. Насколько я помню, тут были и другие подобные темы. Всё это выходит за рамки энтузиазма, а посему надо забить, по крайней мере до лучших времен

Добавлено: 09 дек 2012, 19:28
Kimbo
Emperio писал(а):Да, это глупо..., также глупо как и банить страны забугорных юзверей.
ну да, потому я переделал из бана просто в запрет скачки и отдачи у забугорных юзверо-троянщиков, что бы не заходили к ни в шару и не качали)))

Добавлено: 09 дек 2012, 21:00
Mультик©™
А по поводу скрипта задумайся над тем что бы в поиске не выдавал расширения .exe и т.д. Это для начала. :-D

Добавлено: 09 дек 2012, 21:08
Mультик©™
Кстати, как то месяцев 7 назад пробовал сделать скрипт на основе антипорно по TTH, не стал возиться, пока забросил. :-)

Добавлено: 09 дек 2012, 21:17
Kimbo
Быстрый ответ писал(а):TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.
читал что ТС писал? :-)
Но форматы бывают разные, вот грей вообще чудными форматами пичкает "шару"

Добавлено: 10 дек 2012, 15:26
HackFresse
Снова из нормальной темы срач развели...
Теперь хочу услышать идеи, каким образом с ними бороться. Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально. Но мне, например, такое написать не по силам. Кто возьмется? *DRINK*
Как бороться? Я вижу тут варианта 2 - или банить (бесполезно?), или блочить файлообмен.
1) бот видит факт бана и меняет имя и IP, снова заходит на хаб, поиск и выдача бана повторяются.
2) бот остаётся висеть на хабе, но попытки соединения с ним заканчиваются неудачей - файл не скачивается. Но кроме самого файлообмена нужно запретить отвечать на поисковые запросы, различные имена файлов для того и нужны, чтобы названием своим завлекать юзера скачать какашку. Нету выдачи в результатах поиска - нету добавления в закачки - файл не скачивается.

Как найти таких вредителей, чтобы банить и блочить?
Вероятнее всего, это будут в основном иностранные незареганные юзеры.
Нужно сначала набрать некоторую статистику по самим вредным файлам и файл-листам, чтобы понять, как они генерятся. Если есть куча одинаковых ттх для разных по размеру и названию файлов - задача довольно сильно упростится.

На хабе можно делать только блокировку, все проверки - на вспомогательных серверах

Добавлено: 10 дек 2012, 15:30
HackFresse
Идея блочить по списку ттх тут вряд-ли прокатит из-за большого количества этих самых вариантов файлов, список ников-IP будет ощутимо меньше

Добавлено: 10 дек 2012, 15:31
HackFresse
Тут еще заодно стоит поднять тему про фейковую шару у грейлинка, что там было придумано и как борьба с фейкерами была (не) реализована

Добавлено: 10 дек 2012, 16:35
Kimbo
как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко *CRAZY*

Добавлено: 10 дек 2012, 17:01
dm
Тоже вчера заметил этих ботов с .exe-шками в шаре. Помню, такое раньше наблюдал в ослосети. Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен. *SCRATCH*

Добавлено: 10 дек 2012, 17:07
Kimbo
dm писал(а):Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен.
ещё раз и по-подробней, как они могут следить юзерами у которых .ехе "фейк-троян" за чем либо? Это боты что ли, не люди живые?)

Добавлено: 10 дек 2012, 17:15
Мультикович
Я писал что антипорно переделывал, собирал TTH и не банил он по ним, может я мало ждал? А так это был бы самый простой способ. Собирал я их через каждые 50, получалось прилично, проверял у разных, повторялись.Не думаю что так просто будет искать и чистить от них шару ботоводам когда их бывает несколько тысяч.

Добавлено: 10 дек 2012, 17:15
HackFresse
Еще можно понаблюдать за поисковыми запросами (поиск-шпион), там часто ботов заметить можно. Например, постоянные запросы на поиск doc, txt, xls
Второй вопрос, как этот самый вредный бот реализован.. Если просто тупо дц-клиент с "честной" шарой из вредных файлов - одно, но если более целенаправленное действие, то надо много думать

Добавлено: 10 дек 2012, 18:18
Мультикович
Kimbo писал(а):как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко
Ещё с десяток стран не хочешь... Далеко ты от этого ещё. Не все трояны...
Какой скрипт, не смеши, он ещё с того года есть. Писатель )

Добавлено: 10 дек 2012, 18:34
Kimbo
Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.

Добавлено: 10 дек 2012, 18:40
Мультикович
Kimbo писал(а):Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.
Да легко, вот. если захочешь, сделаешь что бы не редиректил а банил.
Мда - нормально ссылку даже нельзя скрыть...не путать с спойлером. Тогда так:
http://mydc.ru/topic5132.html?hl=redirect

Добавлено: 10 дек 2012, 19:05
Kimbo
спасибо что дал пруфлин на мой скрипт ;-)