问题标签 [botnet]

我大概已经编写了一些第一批代码来修改流行的新 MMORPG 的内存，从而创建一个宏框架，允许高级自动化反应、技能/级别增益、大规模数据检索和机器人。

以这种方式自动化任务是我最大的荣幸，我不禁认为任何手动方法都是“坏掉的”。事实上，我发现自己什至无法完成单人游戏，然后再剖析他们的机制并进行游戏，以一种专门的只读（不是作弊，本身）鼠标和键盘输入的方式。用我自己的编程知识补充我朝着游戏相关目标的进步似乎很自然，否则真的不好玩，就像在 FPS 中忽略你的枪支一样。

由于我喜欢这种形式的逆向工程，我认为其他人也会这样做，他们至少会欣赏最终结果。我倾向于觉得一个项目应该以某种方式“发布”：被出售、开源或免费分发。“独乐乐不如众乐乐。” 否则只有我和我的时间槽。

问题是这种性质的项目涉及几种道德立场：

1. 一个邪恶被释放到虚拟世界。有程序的人有优势，游戏不平衡，你要使用，只是为了平起平坐。它不再是关于游戏，而是工具，一场军备竞赛。就像所有其他 MMORPG 一样。因此，请将代码保密。

2. 以上是不可避免的，所以发布一个强制性的免费发行版，让玩家平等地获得优势，并可能拒绝其他人更邪恶的™（例如精英​​、商业等）版本。在邪恶之间，选择最少的，尽管它的必要性是令人不快的。

3. 出售程序，从你的倾向中获益，这是你应该得到补偿的工作，公平交易（并且不管是否违反了 ToS）。关注 WoWGlider 之类的。人手越少越好吗？

4. 将代码保密。至少尊重您同意的公司服务条款。

什么是道德上可辩护的方法？我没有考虑什么？根据我的经验，ToS 协议在很大程度上是一种无效的劝阻形式，MMORPG 的游戏（以及随后在#1 中描述的结果）确实是不可避免的，但有一些话要说，不要自己扣动扳机——或者它不是那么糟糕?

我在这个问题的原始措辞/标题上做得很差，我真的很想看看是否有特殊情况在道德上是可以辩护的，而不是通常是否可以，希望我的代码可以有建设性的目的.

作为一个新用户，在我更新之前，我没有意识到 99% 的响应会是即时的。也就是说，我仍然收到了一些关于商业化的非常有用的答案，并且最初的问题值得提供的答案，所以：在这方面做得很好。

我确实有我的答案：尽管机器人不可避免，但不要自己扣动扳机！改变，等等（＃3从来没有在我个人的桌子上，但引出了一些精彩的答案。）

防病毒、恶意软件、僵尸网络等正在成为我们日常生活中越来越大的一部分。是否有任何资源讨论创建防病毒工具、安全工具等？似乎是一个有趣的话题，但我无法找到任何真正的资源来参考以了解更多信息。

1. 建议？（好和坏？）

2. 我假设大多数用于此的语言是 C++ 或汇编？或者还有其他适合这类物品的吗？

有没有人知道最糟糕的全球黑客生活在哪里（从美国的角度来看）。我的意思是，warez、serialz、僵尸网络、垃圾邮件发送者的住所在哪里？这些黑客最有可能生活在哪些国家？他们如何连接到互联网？禁止他们的祖国大陆是否有效地限制了他们的访问？（或者他们是否使用未知代理？）

我想根据 IP 地址/大陆（即中国/俄罗斯）阻止可能的黑客。我不在乎我是否疏远了一大群用户。

此外，是否有任何免费可用的阻止列表用于此目的？

更新：这是与编程相关的，因为黑名单是一项常见的编程任务。程序员是少数关心这类数据的群体之一。我还要问谁？

随着团体计划攻击亚马逊，是否有人知道使用他们的云服务的客户是否会受到影响？我知道他们正试图关闭零售端，但您认为这会影响使用 AWS 的 Web 应用程序吗？

最后，如果此类攻击针对 AWS，Web 应用程序公司是否可以采取一些措施/策略？

我遇到了一个僵尸网络的大问题......我认为这是一个僵尸网络......会发生什么？机器人填写表格并向数据库发送垃圾邮件。

这是表格：

这是一个无法插入单词的数组：

因此，通常用户不应该能够在其中发布任何带有“伟哥”的文本。

我无法理解某人或机器人如何插入带有这些坏词的文本？

我正在使用 PDO 和 htmlspecialchars() stripslashes() strip_tags() htmlspecialchars() 之类的函数来防止黑客攻击...

有任何想法吗？

我正在阅读有关僵尸网络的信息，并且想知道为什么无法通过识别设置这些网络的源计算机来找到这些网络的起源并将它们路由出去？

我可能不太了解他们，所以请原谅我的幼稚问题。

理论上，来自每台计算机的所有流量都必须通过一个 ISP、一堆中间路由器，最后到达它的目标主机。因此，如果 ISP 监控传入和传出地址，他们应该能够分辨出哪些 IP 地址正在与大量目的地建立所有这些连接，或者一些类似的启发式...

一般来说，这些骨干网提供商和ISPS 基本上都知道每台计算机的连接去向，那么为什么不关注它们呢？

alert tcp any any -> any any (msg:"PRIVMSG from an IRC channel suspecious act"; content:"PRIVMSG"; offset:0; depth:7; nocase; dsize:<64; flow:to_server,established; tag: session,300,seconds;classtype:bad-unknown;sid:2000346;rev:4;)

编写上述规则是为了监控机器人对机器人管理员的响应消息。该规则工作正常，但仅当一个机器人做出响应并且当多个主机同时响应时，一台主机没有警报甚至一个警报。我已将会话时间更改为 30 或 150，但没有运气。

有什么提示或技巧可以提高效率吗？

谢谢。

-艾门

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change"; flow: to_server,established; content:"NICK"; nocase; offset: 0; depth: 5; flowbits:set, community_is_proto_irc; flowbits: noalert; classtype:misc-activity; sid:100000240; rev:3;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"COMMUNITY BOT Internal IRC server detected"; flow: to_server,established; flowbits:isset,community_is_proto_irc; classtype: policy-violation; sid:100000241; rev:2;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CHAT IRC message from internal bot"; flow: 已建立； flowbits:isset,community_is_proto_irc; content:"PRIVMSG"; nocase; classtype:policy-violation; sid:1463; )

上述规则由David Bianco编写，用于跟踪任何 IRC 端口上的 IRC bot/server 活动。但是，上述规则工作正常，但我对它们有疑问。当多个 IRC 服务器（其中一些在 7000 上工作，另一些在 6667 上工作）在网络上运行时，我的问题发生了，其中一些将达到规则的条件，Snort 将生成警报，其中一些（甚至一个其中）不会达到这些条件，因此 Snort 不会生成与定义的集合相关的任何警报。我认为有一种不一致。关于这个问题有什么建议吗？我正在研究 Snort 2.8。

我一直想知道以下问题：受感染的计算机如何发送电子邮件？我阅读了大型僵尸网络每天发送 1-20 亿封电子邮件的所有故事。当我使用我的 ISP 的 SMTP 服务器并尝试将我的时事通讯发送给少于 100 人时，我的 ISP SMTP 服务器会阻止。我尝试由多个朋友（使用所有不同的 ISP）来做这件事，结果都是一样的。但是，当我什至无法发送 100 封电子邮件时，这些引擎盖怎么会产生如此大量的电子邮件呢？

在此先感谢，乔里。

我的网站从一定范围的 IP 地址中获得了非常多的点击量。大多数情况下，它只是主页。

这是上周（数字代表点击量）

会是什么？