Спам Бот Твич

VladimirTT 5 мая в Возможно во время чтения данного поста ваш любимый сайт рассылает тысячи спам собщений через ваш же почтовый сервер. По поводу спам-бота Stealrat на Хабре не было еще упоминаний, что очень странно. Один из наших серверов был заражен. На сервере в основном размещались сайты на Wordpress. Проблему локализировали, все вычистили и прикрыли. Все бы хорошо, но есть одно но… Спам-бот Stealrat построен по принципу ботнета. Если вкратце то это капец товарищи, такие масштабы спам-бота.

Тысячи зараженных сайтов, об этом далее. Технические характеристики Вредоносный скрипт написан на PHP. Код сжат и пропущен через обфускатор кода. Все данные принимает массивом POST методом в base64 кодировке. Бот формирует email сообщения с рандомным именем отправителя на основании домена сайта и пытается отправить письмо через PHP функцию mail. Если такая функция недоступна, бот пытается подключиться через сокет к почтовому серверу и сделать отправку через него, в обход функции mail.

В основном бот делает рассылку спам сообщений с ссылками на порно-сайты через проксирование html страничек взломанных сайтов. Помимо самого управляющего скрипта, так же было обнаружено множество бекдоров и webshell-лов в разных папках CMS Wordpress. Скрипты именованы случайным образом, например: Обнаружение, признаки, первые меры Первым что бросилось в глаза, так это задержки между отправкой и приемом почтовых писем. В очереди почтового сервера стояли сотни тысяч писем на отправку.

Спасибо Munin за его графики, посмотрели и ужаснулись. Удалили все письма из очереди. Через apache server status обнаружили странные POST запросы на php скрипт одного из виртуальных хостов. Как вы уже догадались, на нем стоял Wordpress. Прикрыли вредоносный скрипт путем переименования файла, сделали бекап зараженного виртуального хоста. Восстановили файлы сайта из бекапа и закрыли посредством htaccess файла доступ ко всем папкам, оставили доступ только для нашего IP.

В общем наладили нормальную работу сайта, остальное закрыли все, вплоть до панели управления и всех дополнительных папок с классами и дополнительными библиотеками. Анализ кода, поиск деталей по вредоносному скрипту Далее начали анализировать сам вредоносный скрипт, который принимал команды и отправлял сообщения. Выстроили код, разложили все по полочкам.

После обфускации код не читабельный а имена переменных и функций названы рандомно. Смотрим код по смыслу выполнения и обычной заменой текста в текстовом редакторе приводим все в нормальный и читабельный вид.

Все стало понятно сразу же после форматирования кода, а после приведения имен переменных и функций уточнились детали формирования тела письма, имя отправителя и почтовых заголовков.

Далее начался квест с поисковой системой Google и оригинальным кодом спам-бота. Пытались найти константы, похожие и повторяющиеся участки кода. Поиск не давал значимых результатов, а если и находило что то то примерно такого содержания: Твой сайт взломали, ищи webshell… Конец Чудным образом удалось найти документ компании trendmicro, еще и в PDF формате, Ссылка в котором было все подробно и детально описано.

Посмотрели — такие же признаки, все точно такое же. Ну хоть название вредоносного скрипта нашли: Опять гугление по слову Stealrat и опять ничего толкового. Вместо этого, мы модифицировали разобранный скрипт таким образом, что бы он делал расшифровку данных, логирование с IP адресом в базу данных и работал как должен якобы работать как не вчем не бывало. Логирование работает уже неделю и по текущий день. Написали веб интерфейс для всего этого, прикрутили GeoIP и шок… На текущий момент в логах около POST обращений, уникальных IP адресов, зараженных сайтов хостингов, виртуальных хостов с 59 стран.

Больше всего из России.

Накрутка на Twitch - Veestream

Удалили все письма из очереди. Через apache server status обнаружили странные POST запросы на php скрипт одного из виртуальных хостов. Как вы уже догадались, на нем стоял Wordpress. Прикрыли вредоносный скрипт путем переименования файла, сделали бекап зараженного виртуального хоста. Восстановили файлы сайта из бекапа и закрыли посредством htaccess файла доступ ко всем папкам, оставили доступ только для нашего IP. В общем наладили нормальную работу сайта, остальное закрыли все, вплоть до панели управления и всех дополнительных папок с классами и дополнительными библиотеками.

Анализ кода, поиск деталей по вредоносному скрипту Далее начали анализировать сам вредоносный скрипт, который принимал команды и отправлял сообщения. Выстроили код, разложили все по полочкам. После обфускации код не читабельный а имена переменных и функций названы рандомно. Смотрим код по смыслу выполнения и обычной заменой текста в текстовом редакторе приводим все в нормальный и читабельный вид.

Все стало понятно сразу же после форматирования кода, а после приведения имен переменных и функций уточнились детали формирования тела письма, имя отправителя и почтовых заголовков. Далее начался квест с поисковой системой Google и оригинальным кодом спам-бота.

Пытались найти константы, похожие и повторяющиеся участки кода. Поиск не давал значимых результатов, а если и находило что то то примерно такого содержания: Твой сайт взломали, ищи webshell… Конец Чудным образом удалось найти документ компании trendmicro, еще и в PDF формате, Ссылка в котором было все подробно и детально описано.

Посмотрели — такие же признаки, все точно такое же. Ну хоть название вредоносного скрипта нашли: Опять гугление по слову Stealrat и опять ничего толкового. Вместо этого, мы модифицировали разобранный скрипт таким образом, что бы он делал расшифровку данных, логирование с IP адресом в базу данных и работал как должен якобы работать как не вчем не бывало. Логирование работает уже неделю и по текущий день. Написали веб интерфейс для всего этого, прикрутили GeoIP и шок… На текущий момент в логах около POST обращений, уникальных IP адресов, зараженных сайтов хостингов, виртуальных хостов с 59 стран.

Права модератора для бота. Регистрироваться не нужно, происходит авторизация через Twich. Перед тем как переходить к настройкам, сразу же предоставьте боту права модератора в чате.

Для этого нужно перейти по специальному значку на своем канале: После этого откроется список пользователей, получивших разные права в чате. Жмём правой кнопки мыши и выставляем для MooBot статус модератора: Просто жмёте на молнию и всё готово.

Если не сделать этого сразу, то бот может улететь в бан лист вашего канала. Боты для чата на Твиче, инструкция по настройке и ТОП лучших Русского языка на сайте нет, а переводить весь интерфейс никому не хочется. В личном кабинете, в верхней части сайта представлено вот такое меню: Через него вы будете переходить к различным настройкам. Чтобы быстро во всём разобраться, опишем предназначение пунктов: Features — настройка различных параметров бота.

Commands — добавление специальных команд и сообщений в чате. Spam Filters — модерация чата и удаление спама. Regulars — параметры по пользователям чата. Editors — разрешение на все опции бота. Contribute — расширенные возможности платно. Guided Tour — обучение по работе с ботом. Сначала тяжело, потом привыкаешь и перевод больше не требуется. Хотя после настройки бота, можно и вовсе не посещать сайт, потому что работает он стабильно.

В меню Features предлагают устанавливать приветственную музыку, разные звуки и многое другое, что отличало бы трансляцию от конкурентов. Тут предлагаются платные и бесплатные функции, они представлены в новом окне: Тут много интересных функций, они помогают сделать свою трансляцию лучше, чем у конкурентов. Опять же из-за отсутствия русского языка, мы решили объяснить каждый параметр: Chat follower notifications — платная функция приветствия новых подписчиков на Твиче.

Song requests — разрешите своим зрителям заказывать музыку в стримах. Делается это при помощи добавления ссылок с Ютуба. Detect new chatters — ещё одна платная функция для приветствия новых зрителей. Custom username in chat — устанавливайте уникальное имя своего бота платно. Chat subscriber notifications — если подключена партнерка, то будут приходить оповещения о платных подписках.

Join priority — установка преимущества на ботов. Twitch stream widget — отдельный виджет для смены игр, добавления рекламы и прочего. Polls — проведение голосований в чате. Raffles — разные фишки и приколы в чатах. Automatic Twitch commercials — показ рекламы с определенным интервалом.

Twitch stream commands — ещё один виджет, выполняет те же функции, только для модераторов. Fun chat commands — дополнительные развлечения в чате. Например, во время перерыва в стриме, ваши зрители смогут поиграть в простые игры. Shoutout chat command — пиар одного из участников чата.

Спам-бот Stealrat построен по принципу ботнета. Размещается на таких популярных CMS как WordPress, Joomla!, Drupal и других не. Напоминаем, что у вашего любимого паблика имеется ещё и сервер в Discord. В нем вы сможете обсуждать стримеров, смотреть вместе трансляции и. Онлайнч 22м. 9. Здравствуйте! Есть у кого спам-бот твича? 0 . Онлайн: 21ч 22м. 9. На форуме с программами нет инфы на счет твич спам бота? 0.

Предыдущая статья: zennoposter скидка 2017

Следующая статья: спам бот одноклассники