Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Релиз антивирей 02.06.04 12:11 Число просмотров: 1829
Автор: Garick <Yuriy> Статус: Elderman Отредактировано 02.06.04 12:19 Количество правок: 1
|
> К вопросу о лицензированном софте... > Полчаса назад снёс с почтового сервера Касперского и
кашпер для почтовых сервисов или дестоп\сервер?
если последний вариант в почтовом демоне надо включить проверку ящиков монитором
> поставил Веба с пиратским ключём. Результат: за десять
"специализация" вебера?
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) > заражённых файлов. В основном Netsky, иногда MyDoom и чего > помельче... Кстати, АВП рекомендован для применения > Минфином Украины... 8-( )
"рексона-спонсор правительсва Украины. Знаем что врет, но доказать не можем":-)))) (с) КВН
|
<miscellaneous>
|
Моя сидеть, хренеть и материться... 26.05.04 18:25
Автор: Lurga Статус: Elderman
|
К вопросу о лицензированном софте...
Полчаса назад снёс с почтового сервера Касперского и поставил Веба с пиратским ключём. Результат: за десять минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) заражённых файлов. В основном Netsky, иногда MyDoom и чего помельче... Кстати, АВП рекомендован для применения Минфином Украины... 8-( )
|
|
Еще вопросы и решения... 07.06.04 12:15
Автор: Garick <Yuriy> Статус: Elderman
|
> К вопросу о лицензированном софте... > Полчаса назад снёс с почтового сервера Касперского и > поставил Веба с пиратским ключём. Результат: за десять > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) > заражённых файлов. В основном Netsky, иногда MyDoom и чего > помельче... Кстати, АВП рекомендован для применения > Минфином Украины... 8-( ) Тк, к сожалению, логи антивиря потеряны и наличие вирусов в папке кашпера (см. ниже по ветке), можно предположить, что это количество вирей находилось либо в карантине кашпера или в почтовых папках майлдемона, и эти зараженные файлы были заблокированы все тем же кашпером. Демон не мог их удалить (вот доставил или нет в ящик, это наверное мы уже не узнаем) - вот кол-во зараженных файлов и нарастало.
Решение: правильно настроить кашпера (его монитор)...
Вопрос: при проверке вебером были ли активные (резиденты в памяти) вирусы или только зараженные файлы?
|
| |
Фиг его знает, может, что-то и висело в карантине, сейчас... 08.06.04 09:36
Автор: Lurga Статус: Elderman
|
> Тк, к сожалению, логи антивиря потеряны и наличие вирусов в > папке кашпера (см. ниже по ветке), можно предположить, что > это количество вирей находилось либо в карантине кашпера > или в почтовых папках майлдемона, и эти зараженные файлы > были заблокированы все тем же кашпером. Демон не мог их Фиг его знает, может, что-то и висело в карантине, сейчас уже не вспомню. Только вряд ли плюсом Касперу можно считать тот факт, что часть вирей он заблокировал, но уйму таких же пропустил. Я же говорил, что заражённые файлы были и в каталоге Винды, и в других Программ Файлсах.
> удалить (вот доставил или нет в ящик, это наверное мы уже > не узнаем) - вот кол-во зараженных файлов и нарастало. > Решение: правильно настроить кашпера (его монитор)... Да ну его, противного. 8)))) Раз в сутки устраиваю геноцид посредством Веба, пока пусто. Ждём-с...
> Вопрос: при проверке вебером были ли активные (резиденты в > памяти) вирусы или только зараженные файлы? Резидентов не было.
ЗЫ Только что закончил сканить ещё одну машину. Результат -- уверенное второе место: 141 вирь. Всё тот же Касперский...
|
|
Релиз антивирей 02.06.04 12:11
Автор: Garick <Yuriy> Статус: Elderman Отредактировано 02.06.04 12:19 Количество правок: 1
|
> К вопросу о лицензированном софте... > Полчаса назад снёс с почтового сервера Касперского и
кашпер для почтовых сервисов или дестоп\сервер?
если последний вариант в почтовом демоне надо включить проверку ящиков монитором
> поставил Веба с пиратским ключём. Результат: за десять
"специализация" вебера?
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) > заражённых файлов. В основном Netsky, иногда MyDoom и чего > помельче... Кстати, АВП рекомендован для применения > Минфином Украины... 8-( )
"рексона-спонсор правительсва Украины. Знаем что врет, но доказать не можем":-)))) (с) КВН
|
| |
Хм... 02.06.04 13:23
Автор: Lurga Статус: Elderman
|
> > К вопросу о лицензированном софте... > > Полчаса назад снёс с почтового сервера Касперского и > > кашпер для почтовых сервисов или дестоп\сервер? > если последний вариант в почтовом демоне надо включить > проверку ящиков монитором Десктоп-сервер. Подключённого модуля не нашёл. Надо полагать, нету его. Стоит монитор и по идее чего-то ловит. Знать бы, чего он ловит...
> > > поставил Веба с пиратским ключём. Результат: за десять > > "специализация" вебера? Никакой специализации. Просто тупо выкачаный с дрвеб.ру дистрибутив плюс асталависта. Запустил собссно Веба (Спайдер, увы, на серверах не крутится -- единственный недостаток Веба, ИМХО) на проверку дисков. Результат -- на лице.
> > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) > > заражённых файлов. В основном Netsky, иногда MyDoom и > чего > > помельче... Кстати, АВП рекомендован для применения > > Минфином Украины... 8-( ) > > "рексона-спонсор правительсва Украины. Знаем что врет, но > доказать не можем":-)))) (с) КВН Я -- могу доказать. 8)))))
|
| | |
Есть смысл поставить антивирус для почтовых сервисов 02.06.04 13:31
Автор: Garick <Yuriy> Статус: Elderman
|
> > > К вопросу о лицензированном софте... > > > Полчаса назад снёс с почтового сервера > Касперского и > > > > кашпер для почтовых сервисов или дестоп\сервер? > > если последний вариант в почтовом демоне надо включить > > проверку ящиков монитором > Десктоп-сервер. Подключённого модуля не нашёл. Надо > полагать, нету его. Стоит монитор и по идее чего-то ловит. > Знать бы, чего он ловит... КАВ для НТ серверов? может выключена опция проверять почтовые базы и\или не умеет он это делать и\или почтовый демон использует "хитрые" (зашифрованные) почтовые базы. Модуль в комплекте не идет.
Чего ловит? логи надо бы посмотреть...:-)))
Какой почтовый демон?
> > > > > > поставил Веба с пиратским ключём. Результат: за > десять > > > > "специализация" вебера? > Никакой специализации. Просто тупо выкачаный с дрвеб.ру > дистрибутив плюс асталависта. Запустил собссно Веба > (Спайдер, увы, на серверах не крутится -- единственный > недостаток Веба, ИМХО) на проверку дисков. Результат -- на > лице. > Есть у вебера продукт и для серверов и для почтовых демонов... Надо поискать...:-)))
|
| | | |
В смысле, модуль покупается отдельно? Тогда, боюсь, это уже... 02.06.04 13:51
Автор: Lurga Статус: Elderman
|
> КАВ для НТ серверов? может выключена опция проверять > почтовые базы и\или не умеет он это делать и\или почтовый > демон использует "хитрые" (зашифрованные) почтовые базы. > Модуль в комплекте не идет. В смысле, модуль покупается отдельно? Тогда, боюсь, это уже не при моей жизни. Что курирующая организация предоставила, то и того... Я и Веба-то ставить права не имел, потому как -- "рекомендовано..."
> Чего ловит? логи надо бы посмотреть...:-))) Увы, не настолько интересно. =))
> Какой почтовый демон? МДемон. Насколько я понял по ветке, стандартно. 8)))
> Есть у вебера продукт и для серверов и для почтовых > демонов... Надо поискать...:-))) Угу... Иксовый? ;))) Вот заведу сервак на Иксах -- тогда и подключу.
|
| | | | |
У AltN есть свой почтовый антивирь на базе/основе кашпера... 02.06.04 14:13
Автор: Garick <Yuriy> Статус: Elderman
|
> > Какой почтовый демон? > МДемон. Насколько я понял по ветке, стандартно. 8))) У AltN есть свой почтовый антивирь на базе/основе кашпера. Есть триал на месяц, можно ставить и если понравиться... Решать уже Вам.:-)))
AltN AntiVirus
|
| | | | | |
Пасиб за участие. =))) 02.06.04 14:22
Автор: Lurga Статус: Elderman
|
> > > Какой почтовый демон? > > МДемон. Насколько я понял по ветке, стандартно. 8))) > У AltN есть свой почтовый антивирь на базе/основе кашпера. > Есть триал на месяц, можно ставить и если понравиться... > Решать уже Вам.:-)))
Всё может быть. Ещё не знаю. Может, вообще забью на антивирусную защиту серверов -- пускай сами втыкаются... А вообще, перефразируя одного политика, когда я слышу фамилию "Касперский", моя рука тянется к пистолету...
|
|
Т.е. это письма с вирусами, которые KAV пропустил???
26.05.04 18:29
Автор: Yurii <Юрий> Статус: Elderman
|
> Полчаса назад снёс с почтового сервера Касперского и > поставил Веба с пиратским ключём. Результат: за десять > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) > заражённых файлов. В основном Netsky, иногда MyDoom и чего > помельче... Кстати, АВП рекомендован для применения > Минфином Украины... 8-( )
Т.е. это письма с вирусами, которые KAV пропустил???
Сомнительно выглядит...
Может что-то криво настроено было, базы не обновлялись и т.д.???
Подскажи версию KAV.
|
| |
Хрен его знает, письма это или не письма. 26.05.04 18:44
Автор: Lurga Статус: Elderman
|
> > Полчаса назад снёс с почтового сервера Касперского и > > поставил Веба с пиратским ключём. Результат: за десять > > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) > > заражённых файлов. В основном Netsky, иногда MyDoom и > чего > > помельче... Кстати, АВП рекомендован для применения > > Минфином Украины... 8-( ) > > Т.е. это письма с вирусами, которые KAV пропустил??? > Сомнительно выглядит... > Может что-то криво настроено было, базы не обновлялись и > т.д.??? > Подскажи версию KAV.
Может, их сюда на дискетах приносят и копируют на сервер. Касперский лицензионный, версия 4.5.0.94. Последнее обновление -- 3 апреля 2004 года.
|
| | |
На дискетах червей не носят 02.06.04 12:23
Автор: Garick <Yuriy> Статус: Elderman
|
> Может, их сюда на дискетах приносят и копируют на сервер. > Касперский лицензионный, версия 4.5.0.94. Последнее > обновление -- 3 апреля 2004 года.
Принести "тельце" червя на дискете мало вероятно. В документах он не водится, исполняемые файлы практически не заражает, а найти сполнителя червя в системной папке и "случайно" скопировать на дискету мало вероятно:-)))
|
| | | |
Насчёт дискеты -- это типа шутка была. 8)) 02.06.04 12:53
Автор: Lurga Статус: Elderman
|
|
| | | | |
Тогда плиз лог (частично) сканера в студию. Посмотреть где "животные" сидят:-))) 02.06.04 13:22
Автор: Garick <Yuriy> Статус: Elderman
|
|
| | | | | |
Гы, лог... 02.06.04 13:37
Автор: Lurga Статус: Elderman
|
Только сегодняшний незавершённый лог весит 3,5 мега. Не сохранился он, ессно. А сидели они частично в мылах, частично -- в каталоге Винды, и, как это не смешно, в каталоге Касперского.
|
| | | | | | |
Немного подумав....:-)))) 02.06.04 14:33
Автор: Garick <Yuriy> Статус: Elderman
|
> Только сегодняшний незавершённый лог весит 3,5 мега. Не > сохранился он, ессно. А сидели они частично в мылах, > частично -- в каталоге Винды, и, как это не смешно, в > каталоге Касперского. Netsky и MyDOOM - почтовые черви. Если их обнаруживает в системных каталогах - открывали письма почтовым клиентом на почтовом сервере (а это не есть гуд!), заражена система и сам кашпер, лечить все это "хозяйство" надо и чем быстрее тем лучше:-))) Заодно не забыть про хотфиксы 823980/ 824146/ 835732, тк СП не содержат эти фиксы. А используя уязвимость системы черви "зайдут" даже при любом антивире. Проверено!:-))))
|
| | | | | | | |
Я их потому и решил прошерстить, что странные ответы... 02.06.04 15:42
Автор: Lurga Статус: Elderman
|
> Netsky и MyDOOM - почтовые черви. Если их обнаруживает в > системных каталогах - открывали письма почтовым клиентом на > почтовом сервере (а это не есть гуд!), заражена система и Я их потому и решил прошерстить, что странные ответы посыпались со странных адресов, по которым явно никто не писал.
> сам кашпер, лечить все это "хозяйство" надо и чем быстрее > тем лучше:-))) Сделано. Раз в день загоняю Веба, он часа четыре уже винт жуёт, пока -- всё спокойно...
> Заодно не забыть про хотфиксы 823980/ > 824146/ 835732, тк СП не содержат эти фиксы. А используя > уязвимость системы черви "зайдут" даже при любом антивире. > Проверено!:-)))) Да надо бы выкачать да поставить... Всё руки не доходят -- грызу Линукса уже месяц, закончить бы с ним уже...
|
| | | | | | | | |
почтовые черви заменяют поле "от:" на случайное из адресной... 02.06.04 17:05
Автор: Garick <Yuriy> Статус: Elderman
|
> Я их потому и решил прошерстить, что странные ответы > посыпались со странных адресов, по которым явно никто не > писал. почтовые черви заменяют поле "от:" на случайное из адресной книги зараженной машины...
в поле "кому:" ставит или из адресной книги или генерит случайное , обычно английское, имя ящика, а домен опять наход в адресбуке.
> > > сам кашпер, лечить все это "хозяйство" надо и чем > быстрее > > тем лучше:-))) > Сделано. Раз в день загоняю Веба, он часа четыре уже винт > жуёт, пока -- всё спокойно... см. ниже
> > Заодно не забыть про хотфиксы 823980/ > > 824146/ 835732, тк СП не содержат эти фиксы. А > используя > > уязвимость системы черви "зайдут" даже при любом > антивире. > > Проверено!:-)))) > Да надо бы выкачать да поставить... Всё руки не доходят -- > грызу Линукса уже месяц, закончить бы с ним уже... Как бы поздно не было:-))) Судя по объему лог файла почтового демона, рабочих станций в локалке не мало и если они заражены, "загон" вебера ни к чему не приведет, раз в 1 час будет новое заражение/перезаражение.
|
| | | | | | | | | |
Резюме. =))) 02.06.04 17:18
Автор: Lurga Статус: Elderman
|
> > > Заодно не забыть про хотфиксы 823980/ > > > 824146/ 835732, тк СП не содержат эти фиксы. А > > используя > > > уязвимость системы черви "зайдут" даже при любом > > антивире. > > > Проверено!:-)))) > > Да надо бы выкачать да поставить... Всё руки не > доходят -- > > грызу Линукса уже месяц, закончить бы с ним уже... > Как бы поздно не было:-))) Судя по объему лог файла > почтового демона, рабочих станций в локалке не мало и если > они заражены, "загон" вебера ни к чему не приведет, раз в 1 > час будет новое заражение/перезаражение. Да нет, тут специфика работы -- за редким исключением мыло юзается практически только на почтовике. И не спрашивайте меня "почему" -- так сложилось исторически. =))) Вот с полученным файлОм работают все машины, но с этим попроще -- всё отсылается опять-таки с почтовика, так что больше мороки со всякой гадостью, которую выкачивают из И-нета.
ЗЫ Веб докрутился, грит, всё чисто... Будем посмотреть... 8-//
|
| | | | | | | | | | |
Почтовый клиент? 02.06.04 17:41
Автор: Garick <Yuriy> Статус: Elderman
|
> Да нет, тут специфика работы -- за редким исключением мыло > юзается практически только на почтовике. И не спрашивайте > меня "почему" -- так сложилось исторически. =))) Вот с Если почтовый клиент отглюк/експресс - тогда обязательно ставить не только эти хотфиксы, есть куча дыр в этих почтовых клиентах и достаточно принять письмо для заражения.
> полученным файлОм работают все машины, но с этим попроще -- Что подрозумевается под словом"файлОм"?
может проще ИМАП настроить, благо Мдаемон позволяет и легко...
> всё отсылается опять-таки с почтовика, так что больше > мороки со всякой гадостью, которую выкачивают из И-нета. Тогда антивирь прикрутить к проксе и чистить другие рс в локалке...
|
|
|