Методы борьбы с ботами - распространителями вирусов
Добавлено: 08 дек 2012, 00:39
Быстрый ответ
Суть проблемы ясна из этих скриншотов: Спойлер
Пояснения.
Как видите, расшаривается большое количество файлов, 30 - 50 тысяч, со всякими завлекающими именами, чтобы проще было найти. TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.
Чтобы не было лишних сомнений - такие боты представлены на всех крупных хабах. Не верите - проверьте. (а также посмотрите последний скриншот)
Думаю, излишне говорить, что такие вещи сильно бьют по всей системе DC++, так как ничего не подозревающие хомячки скачивают эти трояны и становятся частью ботнета, или у них крадут пароли и т.д. и т.п.
Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально.
Ну и наконец, не прошло и года, как мы изготовили скрипт для борьбы с этой заразой, вам остается только скачать и запустить Скрипт "Anti Fake-bot" для PtokaX, автор Быстрый ответ, во вложении внизу.
Быстрый ответ, думаю даже за деньги не найдешь людей. Нужно потратить очень много ресурсов, а выхлопа как бы вообще не будет. Пользователям нужно - пускай они эти и занимаются, логично?
А ты предлагал, что так пишешь?)
P.S. мне говорят, что это уже полноценный бот нужен, одним скриптом не отделаться, хотя можно, но нагрузка на хаб будет, лучше или lua + клиент или отдельный бот.
Kimbo, вы сначала опровергаете мои слова, потом подтверждаете...
Нужен не просто бот, нужен отдельный мощный скачивающий и анализирующий сервер, и мощный канал к нему. И прогер писать такой сервак ниодин месяц. Чего не логичного?
какой сервер, ты о чём?)) Обычный грейлинк (к примеру) берёшь, пишешь скрипт на lua и всё, он сам всё будет делать, какой канал, а темболее мощный сервер и канал, ты о чём?)
Kimbo, не собираюсь с вами спорить.
Быстрый ответ, вы недооцениваете масштабов задумки. На простом грейлинке и lua скрипте, как говорит Kimbo, такое не сделать, все повиснет и загнется. И потом чтобы был эффект, чистить надо все хабы, а не один, или запретить пользователям сидеть на нескольких хабах.
а это глупо.
а с троянами я боролся раньше "глупо", а точнее просто банил страны забугорных юзверей у которых эти трояны чаще всего в шаре находил, US, RO, FR, DE тип таких стран, чаще у румын и америкосов эти трояны сидят в шаре
Добавлено: 09 дек 2012, 19:07
Emperio
Да, это глупо..., также глупо как и банить страны забугорных юзверей. Насколько я помню, тут были и другие подобные темы. Всё это выходит за рамки энтузиазма, а посему надо забить, по крайней мере до лучших времен
Добавлено: 09 дек 2012, 19:28
Kimbo
Emperio писал(а):Да, это глупо..., также глупо как и банить страны забугорных юзверей.
ну да, потому я переделал из бана просто в запрет скачки и отдачи у забугорных юзверо-троянщиков, что бы не заходили к ни в шару и не качали)))
Кстати, как то месяцев 7 назад пробовал сделать скрипт на основе антипорно по TTH, не стал возиться, пока забросил.
Добавлено: 09 дек 2012, 21:17
Kimbo
Быстрый ответ писал(а):TTH обычно разные, хотя и не всегда. Размер файлов, как правило, немного отличается. Это могут быть exe, а могут быть и архивы - zip, rar и т.д.
читал что ТС писал?
Но форматы бывают разные, вот грей вообще чудными форматами пичкает "шару"
Добавлено: 10 дек 2012, 15:26
HackFresse
Снова из нормальной темы срач развели...
Теперь хочу услышать идеи, каким образом с ними бороться. Банить - по моему опыту - бесполезно. Они с легкостью меняют ники и IP - прокси-лист у них весьма обширный. Нужно писать какой-то очень продвинутый скрипт, который бы вычислял ботов по признакам, которые я описал выше - большое количество примерно одинаковых файлов и блокировал бы их каким-либо способом, поскольку вручную это делать нереально. Но мне, например, такое написать не по силам. Кто возьмется?
Как бороться? Я вижу тут варианта 2 - или банить (бесполезно?), или блочить файлообмен.
1) бот видит факт бана и меняет имя и IP, снова заходит на хаб, поиск и выдача бана повторяются.
2) бот остаётся висеть на хабе, но попытки соединения с ним заканчиваются неудачей - файл не скачивается. Но кроме самого файлообмена нужно запретить отвечать на поисковые запросы, различные имена файлов для того и нужны, чтобы названием своим завлекать юзера скачать какашку. Нету выдачи в результатах поиска - нету добавления в закачки - файл не скачивается.
Как найти таких вредителей, чтобы банить и блочить?
Вероятнее всего, это будут в основном иностранные незареганные юзеры.
Нужно сначала набрать некоторую статистику по самим вредным файлам и файл-листам, чтобы понять, как они генерятся. Если есть куча одинаковых ттх для разных по размеру и названию файлов - задача довольно сильно упростится.
На хабе можно делать только блокировку, все проверки - на вспомогательных серверах
Добавлено: 10 дек 2012, 15:30
HackFresse
Идея блочить по списку ттх тут вряд-ли прокатит из-за большого количества этих самых вариантов файлов, список ников-IP будет ощутимо меньше
Добавлено: 10 дек 2012, 15:31
HackFresse
Тут еще заодно стоит поднять тему про фейковую шару у грейлинка, что там было придумано и как борьба с фейкерами была (не) реализована
Добавлено: 10 дек 2012, 16:35
Kimbo
как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко
Добавлено: 10 дек 2012, 17:01
dm
Тоже вчера заметил этих ботов с .exe-шками в шаре. Помню, такое раньше наблюдал в ослосети. Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен.
Добавлено: 10 дек 2012, 17:07
Kimbo
dm писал(а):Там, кажется, за всем этим копирасты стояли, пытались дискредитировать нелегальный файлообмен.
ещё раз и по-подробней, как они могут следить юзерами у которых .ехе "фейк-троян" за чем либо? Это боты что ли, не люди живые?)
Добавлено: 10 дек 2012, 17:15
Мультикович
Я писал что антипорно переделывал, собирал TTH и не банил он по ним, может я мало ждал? А так это был бы самый простой способ. Собирал я их через каждые 50, получалось прилично, проверял у разных, повторялись.Не думаю что так просто будет искать и чистить от них шару ботоводам когда их бывает несколько тысяч.
Добавлено: 10 дек 2012, 17:15
HackFresse
Еще можно понаблюдать за поисковыми запросами (поиск-шпион), там часто ботов заметить можно. Например, постоянные запросы на поиск doc, txt, xls
Второй вопрос, как этот самый вредный бот реализован.. Если просто тупо дц-клиент с "честной" шарой из вредных файлов - одно, но если более целенаправленное действие, то надо много думать
Добавлено: 10 дек 2012, 18:18
Мультикович
Kimbo писал(а):как по мне, лучше блочить страны иностранцев, то есть US, RO, CN, FR, DE, A1 (это страны юзеров у которых я чаще всего встречал фейки-троянские), так же исключение по IP есть. Хотел Скрипт прикрепить, но не понял как, сделал его ещё месяц назад, но нигде не выкладывал, думал в этом сообщение прикрепить, но.. не судьба, сами сделаете, там легко
Ещё с десяток стран не хочешь... Далеко ты от этого ещё. Не все трояны...
Какой скрипт, не смеши, он ещё с того года есть. Писатель )
Добавлено: 10 дек 2012, 18:34
Kimbo
Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.
Добавлено: 10 дек 2012, 18:40
Мультикович
Kimbo писал(а):Мультикович писал(а):Какой скрипт, не смеши, он ещё с того года есть.
пруфлинк в студию.
Да легко, вот. если захочешь, сделаешь что бы не редиректил а банил.
Мда - нормально ссылку даже нельзя скрыть...не путать с спойлером. Тогда так: http://mydc.ru/topic5132.html?hl=redirect