Впервые пишу здесь статью, но меня вынудила тема созданная Кальцедонией (которого уже кинули в бан).
admin отпишись пожалуйста что он натворил. Очень интересно выслушать.
Эта самая тема, название темы звучит очень кликбейтово
Замес начался в чем, что название темы якобы намекала что заработок возможен даже школьнику. Но при прочтении темы оказалось что по его мнению многие форумчане бомжи поэтому он продает схему за 250 бачей.
Вот это я понимаю помощь.
Заметил большой актив в теме, что решил почитать ответы. Оказалось что для схемы нужна программа Spirit Traffic, говорят старая программа и проверенная.
Ну я от интереса решил проверить насколько она чистая и какой же с нее можно взять профит. Схему Кальцедонии пришлось выложить не знаю почему возможно потому что он запостил платную схему в раздел не платных. Админ знает точно правду.
Схему я позже прочел, но ничего интересного не взял из нее (типичные схемы от барыг схемами). А вот саму программу я подумал проверить, звучит все слишком привлекательно.
"Запускаешь программу и шикуешь, трафик льется, только подкидывать нормальный трафик не забывай, иначе потухнет дело и владельцы пп поймут что дело нечистое."
Внимание. Любые подозрительные программы запускайте всегда в виртуальной среде и не под своим айпи, это должно было отложиться еще как вы вошли в тему реверса.
Я для точной безопасности запустил это дело на дедике в котором поставил qemu с vpn. Из софта поставил wireshark для анализа трафика сети.
Скачал, ввел пароль для распаковки 7z архива и сразу ав win defender заорал на ipts.exe мол ваша собака агрессивная, кинул в исключение и запустил эту диковинку, попробовал настроить на старую реф ссылку. Все это дело выглядит вот так.
Я заметил трафик медленно льется, а сеть сильно нагружена у виртуальной машины.
За 4 минуты всего лишь 1 клик, я решил взять этот промежуток времени и проверить wireshark'ом что же там происходит.
Отсортировал по http запросам. Ввел в верхнюю строчку http
Первым делом было замечено что ссаная винда начала качать пакеты обновления со своей телеметрией, ну куда же сейчас без нее.
Благо диапазоны айпи майкрософтов мне известны, также их некоторые уникальные тоже, я смогу отсортировать это дело.
Решил с помощью команды Follow TCP проследить за трафиком с сервером 213.174.132.218
Нашел интересный GET HTTP запрос /ruclick.shtml, открыв содержимое я был удивлен.
Используемый программой веб-движок blink получив html, нас заставляют с помощью скрипта открывать еще кучу сайтов ? Причем с ужасным контентом.
Провайдер будет в а**е от того где вы гуляете. (конечно если вы не предохранялись vpn'ом, видел тут даже запрос с "child process")
Отсортируем от интереса по Info столбцу и смотрим дальше и о боже, вы сами посмотрите что за дичь происходит в GET параметрах.
Больше смешило то что пока 10 уникальных ип не посетишь, ты не получишь свой 1 уникальный ип для арбитража.
Вам кажется что 1 к 10 нормальный коэффициент, вы посетили 10 ипшников вам дают 1. НО из-за того что в этих адресах вас насильно заставляют посещать еще +over9999 сайтов., то коэффициент обмена вообще не выгодный.
Вы большее время сами являетесь тем самым "спиритом". Возможно владелец софта специально монетизировал так свое детище, но это слишком жестоко. Тем более вы и становитесь участником этой сети.
Сортировка по странам есть, а значит это возможно, тем более сама программа стара.
Просмотрев через hex редактор wireshark порева ??? Я понял что клиента гоняют по невыгодным условиям, freeware фигли.
Решил скачать весь http трафик чтобы посмотреть не качал ли я исполняемые файлы помимо html, css, js, php.
И я словно знал что так и будет. Сразу закинул на вт.
Видимо зеленые гирлянды для елки все разбили и елка больше красного цвета.
Вообщем итог, используя подобный софт вы всегда станете участником сети.
Ничего никогда не бывает бесплатного и легкодоступного, я не удивлюсь если с помощью такой сети создатели распространяют своих питомцев. Тем более в инструкции указано что надо кинуть в исключения. Касаемо проверенного файла, он не исполнялся, но был получен GET HTTP запросом. Возможно он уже был запущен поскольку на вирт машине стоит только windows defender.
admin отпишись пожалуйста что он натворил. Очень интересно выслушать.
Эта самая тема, название темы звучит очень кликбейтово
Замес начался в чем, что название темы якобы намекала что заработок возможен даже школьнику. Но при прочтении темы оказалось что по его мнению многие форумчане бомжи поэтому он продает схему за 250 бачей.
Щедрый премиум однако, жалуется что на форуме много бомжей и продает как барыга тем кому хочет помочь
Вот это я понимаю помощь.Заметил большой актив в теме, что решил почитать ответы. Оказалось что для схемы нужна программа Spirit Traffic, говорят старая программа и проверенная.
Ну я от интереса решил проверить насколько она чистая и какой же с нее можно взять профит. Схему Кальцедонии пришлось выложить не знаю почему возможно потому что он запостил платную схему в раздел не платных. Админ знает точно правду.
Схему я позже прочел, но ничего интересного не взял из нее (типичные схемы от барыг схемами
). А вот саму программу я подумал проверить, звучит все слишком привлекательно."Запускаешь программу и шикуешь, трафик льется, только подкидывать нормальный трафик не забывай, иначе потухнет дело и владельцы пп поймут что дело нечистое."
Внимание. Любые подозрительные программы запускайте всегда в виртуальной среде и не под своим айпи, это должно было отложиться еще как вы вошли в тему реверса.
Я для точной безопасности запустил это дело на дедике в котором поставил qemu с vpn. Из софта поставил wireshark для анализа трафика сети.
Скачал, ввел пароль для распаковки 7z архива и сразу ав win defender заорал на ipts.exe мол ваша собака агрессивная, кинул в исключение и запустил эту диковинку, попробовал настроить на старую реф ссылку. Все это дело выглядит вот так.
Я заметил трафик медленно льется, а сеть сильно нагружена у виртуальной машины.
За 4 минуты всего лишь 1 клик, я решил взять этот промежуток времени и проверить wireshark'ом что же там происходит.
Отсортировал по http запросам. Ввел в верхнюю строчку http
Первым делом было замечено что ссаная винда начала качать пакеты обновления со своей телеметрией, ну куда же сейчас без нее.
Благо диапазоны айпи майкрософтов мне известны, также их некоторые уникальные тоже, я смогу отсортировать это дело.
Решил с помощью команды Follow TCP проследить за трафиком с сервером 213.174.132.218
Нашел интересный GET HTTP запрос /ruclick.shtml, открыв содержимое я был удивлен.
Используемый программой веб-движок blink получив html, нас заставляют с помощью скрипта открывать еще кучу сайтов ? Причем с ужасным контентом.
Провайдер будет в а**е от того где вы гуляете. (конечно если вы не предохранялись vpn'ом, видел тут даже запрос с "child process")
Отсортируем от интереса по Info столбцу и смотрим дальше и о боже, вы сами посмотрите что за дичь происходит в GET параметрах.
Больше смешило то что пока 10 уникальных ип не посетишь, ты не получишь свой 1 уникальный ип для арбитража.
Вам кажется что 1 к 10 нормальный коэффициент, вы посетили 10 ипшников вам дают 1. НО из-за того что в этих адресах вас насильно заставляют посещать еще +over9999 сайтов., то коэффициент обмена вообще не выгодный.
Вы большее время сами являетесь тем самым "спиритом". Возможно владелец софта специально монетизировал так свое детище, но это слишком жестоко. Тем более вы и становитесь участником этой сети.
Сортировка по странам есть, а значит это возможно, тем более сама программа стара.
Просмотрев через hex редактор wireshark порева ??? Я понял что клиента гоняют по невыгодным условиям, freeware фигли.
Решил скачать весь http трафик чтобы посмотреть не качал ли я исполняемые файлы помимо html, css, js, php.
И я словно знал что так и будет. Сразу закинул на вт.
Видимо зеленые гирлянды для елки все разбили и елка больше красного цвета.
Вообщем итог, используя подобный софт вы всегда станете участником сети.
Ничего никогда не бывает бесплатного и легкодоступного, я не удивлюсь если с помощью такой сети создатели распространяют своих питомцев. Тем более в инструкции указано что надо кинуть в исключения. Касаемо проверенного файла, он не исполнялся, но был получен GET HTTP запросом. Возможно он уже был запущен поскольку на вирт машине стоит только windows defender.
