посмотрел последний отчёт на вирустотале, там уже 4 ахтунга, в подробностях: сработал bytehero. Это и есть тот самый (судя по сайту) китайский антивирус?
Здравствуйте, CEMb, Вы писали: CEM>ответили лаконично CEM>
CEM>confirmed false positive
CEM>я так понял, я чист?
Не обольщайтесь, это ненадолго. Во-первых таких "сервисов" много, а во-вторых они очень забывчивые.
А бороться с этими гнидами несложно: для начала сделайте так, чтобы для каждого клиента ссылка на скачивание была разная (например, $url.='?sid='.random(0, 99999999)). Затем, после поступления жалобы (в которой они приводят URL с выданным только им sid), ищем этот URL в логах web-сервера и делаем iptables -I INPUT -s <IP-адрес_запросивший_URL>/24 -j DROP. После пары-тройки итераций они вас уже не будут беспокоить.
Здравствуйте, CEMb, Вы писали:
CEM>посмотрел последний отчёт на вирустотале, там уже 4 ахтунга,
Давно уже известно, они копируют друг у друга результаты через вирустотал. То есть если один показал вирус, то и другие через некоторое время тоже начинают на тот же файл показывать.
Здравствуйте, CRT, Вы писали:
CRT>Здравствуйте, CEMb, Вы писали:
CEM>>посмотрел последний отчёт на вирустотале, там уже 4 ахтунга,
CRT>Давно уже известно, они копируют друг у друга результаты через вирустотал. То есть если один показал вирус, то и другие через некоторое время тоже начинают на тот же файл показывать.
имеем шанс на повторение ситуации с видео-конверторами миллион клонов одного и того же АВ
и все в вирустотале!
S>Т.е. ты просто одним махом заблокировал доступ и им и всем соседям которые в их подсети?
Да. Лес рубят — щепки летят. Мне некогда разбираться, кто в этих подсетях хороший, а кто плохой. Тем более, что это хостинги, а не конечные провайдеры для клиентов, так что ничего кроме очередного хацкерского бота оттуда придти не может.
Здравствуйте, elgoog, Вы писали: S>>Т.е. ты просто одним махом заблокировал доступ и им и всем соседям которые в их подсети? E>Да. Лес рубят — щепки летят. Мне некогда разбираться, кто в этих подсетях хороший, а кто плохой. Тем более, что это хостинги, а не конечные провайдеры для клиентов, так что ничего кроме очередного хацкерского бота оттуда придти не может.
Теперь эти ребята прочитают ваш пост и научатся использовать прокси (что, вообще говоря, было бы правильно с их стороны, странно, что не делают так до сих пор).
Здравствуйте, KaktusAgava, Вы писали:
S>>>Т.е. ты просто одним махом заблокировал доступ и им и всем соседям которые в их подсети? E>>Да. Лес рубят — щепки летят. Мне некогда разбираться, кто в этих подсетях хороший, а кто плохой. Тем более, что это хостинги, а не конечные провайдеры для клиентов, так что ничего кроме очередного хацкерского бота оттуда придти не может. KA>Теперь эти ребята прочитают ваш пост и научатся использовать прокси (что, вообще говоря, было бы правильно с их стороны, странно, что не делают так до сих пор).
Не начнут. Тем более, что прокси будут точно так же вывляться и баниться. У меня скрипт работает, выделяет из абузы адрес, шерстит лог и выдает мне на модерацию список IP со всей whois-инфой. Я ставлю галки, жму одну кнопку и привет. На все про все три минуты времени. Задолбутся новые прокси искать.
Вчера мой AVG проапдейтился и потом, без спроса, пошёл сканить диск,
при этом даже на его панели не было видно, что он в процессе скана
В результате нашёл несколько видимо свежих вирусов
в моих старых релизах за 10-12 год в папке с проектами
где у AVG на сайте кнопка, чтобы стукнуть их по голове? поиском ничего не нашёл
Походу, скоро настанет момент, когда количество фальшивых срабатываний
перевалит критический предел, и антивирусам перестанут доверать даже
тогда, когда они будут находить настоящие вирусы и трояны
Здравствуйте, icezone, Вы писали:
L>>имеем шанс на повторение ситуации с видео-конверторами миллион клонов одного и того же АВ L>>и все в вирустотале! I>есть там опенсорсный Clamav, он же Антивирус Бабушкина
Всегда было инетресно, а кто ведет вирусные базы опенсорсных антивирусов? Чтобы распотрошить очередной руткит, нужно дофига очень хардкорной отладки, обычному ЯВУ-программеру это чуждо и трудно, да и мало одного человека для этого сегодня. Кто занимается этим в рамках ClamAV? Насколько его базы актуальны?
Здравствуйте, elgoog, Вы писали:
E>Всегда было инетресно, а кто ведет вирусные базы опенсорсных антивирусов? Чтобы распотрошить очередной руткит, нужно дофига очень хардкорной отладки, обычному ЯВУ-программеру это чуждо и трудно, да и мало одного человека для этого сегодня. Кто занимается этим в рамках ClamAV? Насколько его базы актуальны?
По моим наблюдениям — от лидеров заметно отстает, но есть еще более тупые платные шедевры.
Как уже говорили выше — часто тянут инфу с вирустотала — в том числе и ложные срабатывания.
E>Всегда было инетресно, а кто ведет вирусные базы опенсорсных антивирусов? Чтобы распотрошить очередной руткит, нужно дофига очень хардкорной отладки, обычному ЯВУ-программеру это чуждо и трудно, да и мало одного человека для этого сегодня.
Сейчас так не делают, сейчас сэмпл выловили, хеш сляпали и в базу, реально ковыряют только самые крупные AV-конторы и/или когда рекламу себе хотят сделать, а кроме того, сейчас среднестатистическому разработчику антивируса даже ловить ничего не надо (на начальном этапе, во всяком случае), за них это делают специальные сервисы, например, Offensive Computing, много их, пришлют тебе миллионы сэмплов на винте, стоит всего лишь $3000 плюс столько же за годовую подписку, даже адрес дадут, где обновления качать. Такие дела.
Здравствуйте, x64, Вы писали:
E>>Всегда было инетресно, а кто ведет вирусные базы опенсорсных антивирусов? Чтобы распотрошить очередной руткит, нужно дофига очень хардкорной отладки, обычному ЯВУ-программеру это чуждо и трудно, да и мало одного человека для этого сегодня. x64>Сейчас так не делают, сейчас сэмпл выловили, хеш сляпали и в базу
Это если антивирус "транзитного" типа (проверка почты, закачиваемых файлов и т.п.), а если это системный антивирус, то ему не только обнаружить нужно, а и выковырять гадость из системы. А ведь некоторая зараза пускает корни так глубоко, что выдрать ее можно только зная алгоритмы работы.
E>А ведь некоторая зараза пускает корни так глубоко, что выдрать ее можно только зная алгоритмы работы.
Ну, в идеале, оно, конечно, так и должно быть, но обычно "выковыриванием" из системы этих ваших руткитов занимаются всё таки антирутикты, а не антивирусные комплексы, хотя да, некоторые AVs содержат в себе такой функционал, но этим заморачиваются только более-менее крупные AV-вендоры типа Касперского или ESET.
Здравствуйте, CEMb, Вы писали:
CEM> PS: от этих антивирусников уже проблем на два порядка больше, чем от вирусов!
меняйте хостера. у меня не только малварь на хосте лежит, но и на сервере выполяются скрипты, имитирующие поведение малвари, т.е. внешне это выглядит как злобные и противоправные дейстивя. перед тем как их начинать -- я звонил в саппорт и спрашивал, что будет, если кому-то покажется, что я занимаюсь чем-то нехорошим. мне ответили -- с вами свяжутся для выяснения ситуации. я спрашиваю -- а не может быть так, что сначала закроют аккаунт, а только потом начнут выяснять, что это было? мне отвечают -- нет, ни в коем случае. даже если вы проявляете странную и подозрительную активность -- мы сначала свяжемся с вами.
например, сейчас, я провожу эксперименты на предмет выяснения как часто легальные домены меняют адрес и сколько из них пользуется услугами "перевозчиков" трафика и какими. внешне это выглядит как СС сервер, который упорно долбит весь иннет. и да, я уже попал в черные списки разных компаний, которые считают меня вредоносом. только на мне это никак не отражается. хостер лишь накапиливет жалобы и высылает их раз в месяц, типа -- вот тут пипл негодуэ. но ведь никакого ущерба нет? ну стучусь я раз в день на днс, обрабатывающий данных домен. так ведь это же ни разу не нагрузка для него. хотя если брать весь мой трафф в совокупности, то он вполне тянет на статью УК. во всяком случае он так выглядит.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, CEMb, Вы писали:
CEM>> PS: от этих антивирусников уже проблем на два порядка больше, чем от вирусов! М>меняйте хостера. у меня не только малварь на хосте лежит, но и на сервере выполяются скрипты, имитирующие поведение малвари,
Ну озвучьте имя такого крутого хостера?
У вас сервер-сервер система видимо и внешние юзера файлы вирусов не видят.
Когда же юзера-сервер и юзера накатают жалобу что РАСПРОСТРАНЯЕТСЯ вирус то отключать моментально даже ваш крутой хостер.
Также если не отключит хостер то отключит яндекс-гугл-мозила по абузам в своих браузерах, краник к нашему сайту перекроют
через свои safe-browsing встроенные в браузеры, что вообще просто конец! (чтобы не сказать п...ц)
