информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в WindowsСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Релиз антивирей 02.06.04 12:11  Число просмотров: 1829
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 02.06.04 12:19  Количество правок: 1
<"чистая" ссылка>
> К вопросу о лицензированном софте...
> Полчаса назад снёс с почтового сервера Касперского и

кашпер для почтовых сервисов или дестоп\сервер?
если последний вариант в почтовом демоне надо включить проверку ящиков монитором

> поставил Веба с пиратским ключём. Результат: за десять

"специализация" вебера?

> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )

"рексона-спонсор правительсва Украины. Знаем что врет, но доказать не можем":-)))) (с) КВН
<miscellaneous>
Моя сидеть, хренеть и материться... 26.05.04 18:25  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
К вопросу о лицензированном софте...
Полчаса назад снёс с почтового сервера Касперского и поставил Веба с пиратским ключём. Результат: за десять минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) заражённых файлов. В основном Netsky, иногда MyDoom и чего помельче... Кстати, АВП рекомендован для применения Минфином Украины... 8-( )
Еще вопросы и решения... 07.06.04 12:15  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> К вопросу о лицензированном софте...
> Полчаса назад снёс с почтового сервера Касперского и
> поставил Веба с пиратским ключём. Результат: за десять
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )
Тк, к сожалению, логи антивиря потеряны и наличие вирусов в папке кашпера (см. ниже по ветке), можно предположить, что это количество вирей находилось либо в карантине кашпера или в почтовых папках майлдемона, и эти зараженные файлы были заблокированы все тем же кашпером. Демон не мог их удалить (вот доставил или нет в ящик, это наверное мы уже не узнаем) - вот кол-во зараженных файлов и нарастало.
Решение: правильно настроить кашпера (его монитор)...

Вопрос: при проверке вебером были ли активные (резиденты в памяти) вирусы или только зараженные файлы?
Фиг его знает, может, что-то и висело в карантине, сейчас... 08.06.04 09:36  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> Тк, к сожалению, логи антивиря потеряны и наличие вирусов в
> папке кашпера (см. ниже по ветке), можно предположить, что
> это количество вирей находилось либо в карантине кашпера
> или в почтовых папках майлдемона, и эти зараженные файлы
> были заблокированы все тем же кашпером. Демон не мог их
Фиг его знает, может, что-то и висело в карантине, сейчас уже не вспомню. Только вряд ли плюсом Касперу можно считать тот факт, что часть вирей он заблокировал, но уйму таких же пропустил. Я же говорил, что заражённые файлы были и в каталоге Винды, и в других Программ Файлсах.

> удалить (вот доставил или нет в ящик, это наверное мы уже
> не узнаем) - вот кол-во зараженных файлов и нарастало.
> Решение: правильно настроить кашпера (его монитор)...
Да ну его, противного. 8)))) Раз в сутки устраиваю геноцид посредством Веба, пока пусто. Ждём-с...

> Вопрос: при проверке вебером были ли активные (резиденты в
> памяти) вирусы или только зараженные файлы?
Резидентов не было.

ЗЫ Только что закончил сканить ещё одну машину. Результат -- уверенное второе место: 141 вирь. Всё тот же Касперский...
Релиз антивирей 02.06.04 12:11  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 02.06.04 12:19  Количество правок: 1
<"чистая" ссылка>
> К вопросу о лицензированном софте...
> Полчаса назад снёс с почтового сервера Касперского и

кашпер для почтовых сервисов или дестоп\сервер?
если последний вариант в почтовом демоне надо включить проверку ящиков монитором

> поставил Веба с пиратским ключём. Результат: за десять

"специализация" вебера?

> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )

"рексона-спонсор правительсва Украины. Знаем что врет, но доказать не можем":-)))) (с) КВН
Хм... 02.06.04 13:23  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> > К вопросу о лицензированном софте...
> > Полчаса назад снёс с почтового сервера Касперского и
>
> кашпер для почтовых сервисов или дестоп\сервер?
> если последний вариант в почтовом демоне надо включить
> проверку ящиков монитором
Десктоп-сервер. Подключённого модуля не нашёл. Надо полагать, нету его. Стоит монитор и по идее чего-то ловит. Знать бы, чего он ловит...

>
> > поставил Веба с пиратским ключём. Результат: за десять
>
> "специализация" вебера?
Никакой специализации. Просто тупо выкачаный с дрвеб.ру дистрибутив плюс асталависта. Запустил собссно Веба (Спайдер, увы, на серверах не крутится -- единственный недостаток Веба, ИМХО) на проверку дисков. Результат -- на лице.

> > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> > заражённых файлов. В основном Netsky, иногда MyDoom и
> чего
> > помельче... Кстати, АВП рекомендован для применения
> > Минфином Украины... 8-( )
>
> "рексона-спонсор правительсва Украины. Знаем что врет, но
> доказать не можем":-)))) (с) КВН
Я -- могу доказать. 8)))))
Есть смысл поставить антивирус для почтовых сервисов 02.06.04 13:31  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> > > К вопросу о лицензированном софте...
> > > Полчаса назад снёс с почтового сервера
> Касперского и
> >
> > кашпер для почтовых сервисов или дестоп\сервер?
> > если последний вариант в почтовом демоне надо включить
> > проверку ящиков монитором
> Десктоп-сервер. Подключённого модуля не нашёл. Надо
> полагать, нету его. Стоит монитор и по идее чего-то ловит.
> Знать бы, чего он ловит...
КАВ для НТ серверов? может выключена опция проверять почтовые базы и\или не умеет он это делать и\или почтовый демон использует "хитрые" (зашифрованные) почтовые базы. Модуль в комплекте не идет.
Чего ловит? логи надо бы посмотреть...:-)))
Какой почтовый демон?

>
> >
> > > поставил Веба с пиратским ключём. Результат: за
> десять
> >
> > "специализация" вебера?
> Никакой специализации. Просто тупо выкачаный с дрвеб.ру
> дистрибутив плюс асталависта. Запустил собссно Веба
> (Спайдер, увы, на серверах не крутится -- единственный
> недостаток Веба, ИМХО) на проверку дисков. Результат -- на
> лице.
>
Есть у вебера продукт и для серверов и для почтовых демонов... Надо поискать...:-)))
В смысле, модуль покупается отдельно? Тогда, боюсь, это уже... 02.06.04 13:51  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> КАВ для НТ серверов? может выключена опция проверять
> почтовые базы и\или не умеет он это делать и\или почтовый
> демон использует "хитрые" (зашифрованные) почтовые базы.
> Модуль в комплекте не идет.
В смысле, модуль покупается отдельно? Тогда, боюсь, это уже не при моей жизни. Что курирующая организация предоставила, то и того... Я и Веба-то ставить права не имел, потому как -- "рекомендовано..."

> Чего ловит? логи надо бы посмотреть...:-)))
Увы, не настолько интересно. =))

> Какой почтовый демон?
МДемон. Насколько я понял по ветке, стандартно. 8)))

> Есть у вебера продукт и для серверов и для почтовых
> демонов... Надо поискать...:-)))
Угу... Иксовый? ;))) Вот заведу сервак на Иксах -- тогда и подключу.
У AltN есть свой почтовый антивирь на базе/основе кашпера... 02.06.04 14:13  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> > Какой почтовый демон?
> МДемон. Насколько я понял по ветке, стандартно. 8)))
У AltN есть свой почтовый антивирь на базе/основе кашпера. Есть триал на месяц, можно ставить и если понравиться... Решать уже Вам.:-)))

AltN AntiVirus
Пасиб за участие. =))) 02.06.04 14:22  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> > > Какой почтовый демон?
> > МДемон. Насколько я понял по ветке, стандартно. 8)))
> У AltN есть свой почтовый антивирь на базе/основе кашпера.
> Есть триал на месяц, можно ставить и если понравиться...
> Решать уже Вам.:-)))

Всё может быть. Ещё не знаю. Может, вообще забью на антивирусную защиту серверов -- пускай сами втыкаются... А вообще, перефразируя одного политика, когда я слышу фамилию "Касперский", моя рука тянется к пистолету...
Т.е. это письма с вирусами, которые KAV пропустил??? 26.05.04 18:29  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
> Полчаса назад снёс с почтового сервера Касперского и
> поставил Веба с пиратским ключём. Результат: за десять
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )

Т.е. это письма с вирусами, которые KAV пропустил???
Сомнительно выглядит...
Может что-то криво настроено было, базы не обновлялись и т.д.???
Подскажи версию KAV.
Хрен его знает, письма это или не письма. 26.05.04 18:44  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> > Полчаса назад снёс с почтового сервера Касперского и
> > поставил Веба с пиратским ключём. Результат: за десять
> > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> > заражённых файлов. В основном Netsky, иногда MyDoom и
> чего
> > помельче... Кстати, АВП рекомендован для применения
> > Минфином Украины... 8-( )
>
> Т.е. это письма с вирусами, которые KAV пропустил???
> Сомнительно выглядит...
> Может что-то криво настроено было, базы не обновлялись и
> т.д.???
> Подскажи версию KAV.

Может, их сюда на дискетах приносят и копируют на сервер. Касперский лицензионный, версия 4.5.0.94. Последнее обновление -- 3 апреля 2004 года.
На дискетах червей не носят 02.06.04 12:23  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>

> Может, их сюда на дискетах приносят и копируют на сервер.
> Касперский лицензионный, версия 4.5.0.94. Последнее
> обновление -- 3 апреля 2004 года.

Принести "тельце" червя на дискете мало вероятно. В документах он не водится, исполняемые файлы практически не заражает, а найти сполнителя червя в системной папке и "случайно" скопировать на дискету мало вероятно:-)))
Насчёт дискеты -- это типа шутка была. 8)) 02.06.04 12:53  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Тогда плиз лог (частично) сканера в студию. Посмотреть где "животные" сидят:-))) 02.06.04 13:22  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Гы, лог... 02.06.04 13:37  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Только сегодняшний незавершённый лог весит 3,5 мега. Не сохранился он, ессно. А сидели они частично в мылах, частично -- в каталоге Винды, и, как это не смешно, в каталоге Касперского.
Немного подумав....:-)))) 02.06.04 14:33  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> Только сегодняшний незавершённый лог весит 3,5 мега. Не
> сохранился он, ессно. А сидели они частично в мылах,
> частично -- в каталоге Винды, и, как это не смешно, в
> каталоге Касперского.
Netsky и MyDOOM - почтовые черви. Если их обнаруживает в системных каталогах - открывали письма почтовым клиентом на почтовом сервере (а это не есть гуд!), заражена система и сам кашпер, лечить все это "хозяйство" надо и чем быстрее тем лучше:-))) Заодно не забыть про хотфиксы 823980/ 824146/ 835732, тк СП не содержат эти фиксы. А используя уязвимость системы черви "зайдут" даже при любом антивире. Проверено!:-))))
Я их потому и решил прошерстить, что странные ответы... 02.06.04 15:42  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> Netsky и MyDOOM - почтовые черви. Если их обнаруживает в
> системных каталогах - открывали письма почтовым клиентом на
> почтовом сервере (а это не есть гуд!), заражена система и
Я их потому и решил прошерстить, что странные ответы посыпались со странных адресов, по которым явно никто не писал.

> сам кашпер, лечить все это "хозяйство" надо и чем быстрее
> тем лучше:-)))
Сделано. Раз в день загоняю Веба, он часа четыре уже винт жуёт, пока -- всё спокойно...

> Заодно не забыть про хотфиксы 823980/
> 824146/ 835732, тк СП не содержат эти фиксы. А используя
> уязвимость системы черви "зайдут" даже при любом антивире.
> Проверено!:-))))
Да надо бы выкачать да поставить... Всё руки не доходят -- грызу Линукса уже месяц, закончить бы с ним уже...
почтовые черви заменяют поле "от:" на случайное из адресной... 02.06.04 17:05  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> Я их потому и решил прошерстить, что странные ответы
> посыпались со странных адресов, по которым явно никто не
> писал.
почтовые черви заменяют поле "от:" на случайное из адресной книги зараженной машины...
в поле "кому:" ставит или из адресной книги или генерит случайное , обычно английское, имя ящика, а домен опять наход в адресбуке.

>
> > сам кашпер, лечить все это "хозяйство" надо и чем
> быстрее
> > тем лучше:-)))
> Сделано. Раз в день загоняю Веба, он часа четыре уже винт
> жуёт, пока -- всё спокойно...
см. ниже

> > Заодно не забыть про хотфиксы 823980/
> > 824146/ 835732, тк СП не содержат эти фиксы. А
> используя
> > уязвимость системы черви "зайдут" даже при любом
> антивире.
> > Проверено!:-))))
> Да надо бы выкачать да поставить... Всё руки не доходят --
> грызу Линукса уже месяц, закончить бы с ним уже...
Как бы поздно не было:-))) Судя по объему лог файла почтового демона, рабочих станций в локалке не мало и если они заражены, "загон" вебера ни к чему не приведет, раз в 1 час будет новое заражение/перезаражение.
Резюме. =))) 02.06.04 17:18  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> > > Заодно не забыть про хотфиксы 823980/
> > > 824146/ 835732, тк СП не содержат эти фиксы. А
> > используя
> > > уязвимость системы черви "зайдут" даже при любом
> > антивире.
> > > Проверено!:-))))
> > Да надо бы выкачать да поставить... Всё руки не
> доходят --
> > грызу Линукса уже месяц, закончить бы с ним уже...
> Как бы поздно не было:-))) Судя по объему лог файла
> почтового демона, рабочих станций в локалке не мало и если
> они заражены, "загон" вебера ни к чему не приведет, раз в 1
> час будет новое заражение/перезаражение.
Да нет, тут специфика работы -- за редким исключением мыло юзается практически только на почтовике. И не спрашивайте меня "почему" -- так сложилось исторически. =))) Вот с полученным файлОм работают все машины, но с этим попроще -- всё отсылается опять-таки с почтовика, так что больше мороки со всякой гадостью, которую выкачивают из И-нета.
ЗЫ Веб докрутился, грит, всё чисто... Будем посмотреть... 8-//
Почтовый клиент? 02.06.04 17:41  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
> Да нет, тут специфика работы -- за редким исключением мыло
> юзается практически только на почтовике. И не спрашивайте
> меня "почему" -- так сложилось исторически. =))) Вот с
Если почтовый клиент отглюк/експресс - тогда обязательно ставить не только эти хотфиксы, есть куча дыр в этих почтовых клиентах и достаточно принять письмо для заражения.

> полученным файлОм работают все машины, но с этим попроще --
Что подрозумевается под словом"файлОм"?
может проще ИМАП настроить, благо Мдаемон позволяет и легко...

> всё отсылается опять-таки с почтовика, так что больше
> мороки со всякой гадостью, которую выкачивают из И-нета.
Тогда антивирь прикрутить к проксе и чистить другие рс в локалке...
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach