Çıkışa göre gzline - IRCForumları - IRC ve mIRC Kullanıcılarının Buluşma Noktası

Emrax · 21 Aralık 2010, 19:48

Kolay gelsin arkadaşlar. Bir kaç haftadır botnet saldırıları için çözümler üretmeye çalışıyorum. Ancak bu kod beni aştı.
Bilindiği üzere botnetler çok hızlı giriş yapıp çok hızlı çıkış yapan saldırılardır. Sunucuya yapılan saldırılarda Client Exited şeklinde en az 8 nick birden çıkıyor. Eğer #gorki kanalındaki çıkışlarda 1 saniyede ard arda 8 tane Client Exited ile çıkış olursa hepsine gzline attırma ihtimalimiz var mı?

Vefa · 21 Aralık 2010, 23:23

on *:snotice:*client exiting*:hadd -mu1 ip $remove($gettok($7,2,64),$chr(41)) 1 | if $hget(ip,0).item >= 10 { var %k = 1,%kk = $hget(ip,0).item | while %k <= %kk { zline $+(*@,$hget(ip,%k).item) :sebeb | inc %k } }

böle bi kod var L4roXyL ' in yazdıgı bi kod işine yarar sanırım

Emrax · 22 Aralık 2010, 02:22

Sanırım sunucu genelinde 1 saniyede 10 tane client exited çıkışı oluyorsa hepsini atıyor. Öyle mi acaba biraz daha bilgi verebilir misiniz?

Vefa · 22 Aralık 2010, 19:18

evet aynen öyle 1 saniye içinde 10 client exinted çıkışı olunca gzline uyguluyor kod değişebilirsin süre ve çıkış sayısını

Emrax · 22 Aralık 2010, 20:08

Code içinde verebilir misin kodu acaba?

cashmare · 22 Aralık 2010, 21:17

Emrax Nickli Üyeden Alıntı
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.

Code içinde verebilir misin kodu acaba?

bu kadarda armut piş agzıma düş olmaz ki
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.

Kod: Kodu kopyalamak için üzerine çift tıklayın!

on *:snotice:*client exiting*:hadd -mu1 ip $remove($gettok($7,2,64),$chr(41)) 1 | if $hget(ip,0).item >= 8 { var %k = 1,%kk = $hget(ip,0).item | while %k <= %kk { zline $+(*@,$hget(ip,%k).item) :sebeb | inc %k } }

1 saniyede 8 giriş

grineX · 22 Aralık 2010, 21:32

Kodun işe yaradığına dahil bir örnek varmı banada böylebir kod gerekli.

Emrax · 22 Aralık 2010, 22:51

cashmare Nickli Üyeden Alıntı
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.

bu kadarda armut piş agzıma düş olmaz ki
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.

Kod: Kodu kopyalamak için üzerine çift tıklayın!

on *:snotice:*client exiting*:hadd -mu1 ip $remove($gettok($7,2,64),$chr(41)) 1 | if $hget(ip,0).item >= 8 { var %k = 1,%kk = $hget(ip,0).item | while %k <= %kk { zline $+(*@,$hget(ip,%k).item) :sebeb | inc %k } }

1 saniyede 8 giriş

Codersiniz herhalde
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
bazı kodların tek satır yazıldığında hata verdiğini bilirsiniz o zaman.

EDİT: Çalışıyor. Ancak

Kod: Kodu kopyalamak için üzerine çift tıklayın!

-169FB192.torservers.net

gibi uzantılı adresler gzline basmıyor.

Kod: Kodu kopyalamak için üzerine çift tıklayın!

ERROR: (g)zlines must be placed at *@IPMASK, not *@HOSTMASK (so for example *@192.168.* is ok, but *@*.aol.com is not). This is because (g)zlines are processed BEFORE dns and ident lookups are done. If you want to use hostmasks instead of ipmasks, use a KLINE/GLINE instead.

gibi hata veriyor.

EDİT2: gzline yerine kline ile atarsak hepsini atıyor. Ama buna muaf eklemek lazım. Mesela hostunun sonunda gorki.com varsa atılmasın olarak. Yoksa userde gider.

Difuzyon · 23 Aralık 2010, 23:48

Kod: Kodu kopyalamak için üzerine çift tıklayın!

on *:quit:{
  if $nick ison #gorki && $regex($1-,/Client exited/iS) {
    hadd -mu1 Exit $nick 1
    if $hget(Exit,0).item == 8 {
      set -eu8 %quit gzline 
      var %dify 1 | while %dify <= $hget(Exit,0).item { 
        whowas $hget(Exit,%dify).item 1 | inc %dify 
      }
    }
  }
}
raw *:*:{
  if $regex($numeric,/^3(12|14|69)/) && %quit { 
    goto $regml(1) 
    :14 
    gzline $+(*@,$4) +0 Sebep
    halt
    :12
    halt
    :69
    halt
  }
}

Snotice'deki "Client exiting" satırı başka, sunucudan quit ile çıkarken "Client exited" haznesi başkadır.

Yukarıdaki kod ile sunucudan 1 sn içerisinde "Client exited" çıkış mesajıyla 8 nick çıkış yaparsa, bu 8 nicke whowas komutunu uygular ve ip numaralarına süresiz gzline uygular.

Hoşca paylaşımlar...

q0kh4n · 23 Aralık 2010, 23:52

hayırlara vesile olsun herkes paylaşsın
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
saol cenk

Benzer Konular
Konu	Konuyu Başlatan	Forum	Cevaplar	Son Mesaj
'Mersin'le çıkışa geçeceğiz'	Seth	Süper Lig (Anadolu Takımları)	0	19 Şubat 2015 15:56
Çıkışa 50 Metre Kala Öldüler	Elysian	Haber Arşivi	0	18 Mayıs 2014 14:28
!gzline Ip	IRCMasteR	mIRC Scripting Sorunları	1	20 Mart 2007 19:01

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)

5846 sayılı Fikir ve Sanat Eserleri Kanunu gereğince sitemizde telif hakkı bulunan mp3,video v.b. eserlerin paylaşımı yasaktır. Yasal işlem olması halinde paylaşan kişi yada kişilerin bilgileri gerekli kuruma verilecektir.