Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Еще вопросы и решения... 07.06.04 12:15 Число просмотров: 1585
Автор: Garick <Yuriy> Статус: Elderman
|
> К вопросу о лицензированном софте...
> Полчаса назад снёс с почтового сервера Касперского и
> поставил Веба с пиратским ключём. Результат: за десять
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )
Тк, к сожалению, логи антивиря потеряны и наличие вирусов в папке кашпера (см. ниже по ветке), можно предположить, что это количество вирей находилось либо в карантине кашпера или в почтовых папках майлдемона, и эти зараженные файлы были заблокированы все тем же кашпером. Демон не мог их удалить (вот доставил или нет в ящик, это наверное мы уже не узнаем) - вот кол-во зараженных файлов и нарастало.
Решение: правильно настроить кашпера (его монитор)...
Вопрос: при проверке вебером были ли активные (резиденты в памяти) вирусы или только зараженные файлы?
|
|
<miscellaneous>
|
Моя сидеть, хренеть и материться... 26.05.04 18:25
Автор: Lurga Статус: Elderman
|
К вопросу о лицензированном софте...
Полчаса назад снёс с почтового сервера Касперского и поставил Веба с пиратским ключём. Результат: за десять минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ) заражённых файлов. В основном Netsky, иногда MyDoom и чего помельче... Кстати, АВП рекомендован для применения Минфином Украины... 8-( )
|
|
Еще вопросы и решения... 07.06.04 12:15
Автор: Garick <Yuriy> Статус: Elderman
|
> К вопросу о лицензированном софте...
> Полчаса назад снёс с почтового сервера Касперского и
> поставил Веба с пиратским ключём. Результат: за десять
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )
Тк, к сожалению, логи антивиря потеряны и наличие вирусов в папке кашпера (см. ниже по ветке), можно предположить, что это количество вирей находилось либо в карантине кашпера или в почтовых папках майлдемона, и эти зараженные файлы были заблокированы все тем же кашпером. Демон не мог их удалить (вот доставил или нет в ящик, это наверное мы уже не узнаем) - вот кол-во зараженных файлов и нарастало.
Решение: правильно настроить кашпера (его монитор)...
Вопрос: при проверке вебером были ли активные (резиденты в памяти) вирусы или только зараженные файлы?
|
| |
Фиг его знает, может, что-то и висело в карантине, сейчас... 08.06.04 09:36
Автор: Lurga Статус: Elderman
|
> Тк, к сожалению, логи антивиря потеряны и наличие вирусов в
> папке кашпера (см. ниже по ветке), можно предположить, что
> это количество вирей находилось либо в карантине кашпера
> или в почтовых папках майлдемона, и эти зараженные файлы
> были заблокированы все тем же кашпером. Демон не мог их
Фиг его знает, может, что-то и висело в карантине, сейчас уже не вспомню. Только вряд ли плюсом Касперу можно считать тот факт, что часть вирей он заблокировал, но уйму таких же пропустил. Я же говорил, что заражённые файлы были и в каталоге Винды, и в других Программ Файлсах.
> удалить (вот доставил или нет в ящик, это наверное мы уже
> не узнаем) - вот кол-во зараженных файлов и нарастало.
> Решение: правильно настроить кашпера (его монитор)...
Да ну его, противного. 8)))) Раз в сутки устраиваю геноцид посредством Веба, пока пусто. Ждём-с...
> Вопрос: при проверке вебером были ли активные (резиденты в
> памяти) вирусы или только зараженные файлы?
Резидентов не было.
ЗЫ Только что закончил сканить ещё одну машину. Результат -- уверенное второе место: 141 вирь. Всё тот же Касперский...
|
|
Релиз антивирей 02.06.04 12:11
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 02.06.04 12:19 Количество правок: 1
|
> К вопросу о лицензированном софте...
> Полчаса назад снёс с почтового сервера Касперского и
кашпер для почтовых сервисов или дестоп\сервер?
если последний вариант в почтовом демоне надо включить проверку ящиков монитором
> поставил Веба с пиратским ключём. Результат: за десять
"специализация" вебера?
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )
"рексона-спонсор правительсва Украины. Знаем что врет, но доказать не можем":-)))) (с) КВН
|
| |
Хм... 02.06.04 13:23
Автор: Lurga Статус: Elderman
|
> > К вопросу о лицензированном софте...
> > Полчаса назад снёс с почтового сервера Касперского и
>
> кашпер для почтовых сервисов или дестоп\сервер?
> если последний вариант в почтовом демоне надо включить
> проверку ящиков монитором
Десктоп-сервер. Подключённого модуля не нашёл. Надо полагать, нету его. Стоит монитор и по идее чего-то ловит. Знать бы, чего он ловит...
>
> > поставил Веба с пиратским ключём. Результат: за десять
>
> "специализация" вебера?
Никакой специализации. Просто тупо выкачаный с дрвеб.ру дистрибутив плюс асталависта. Запустил собссно Веба (Спайдер, увы, на серверах не крутится -- единственный недостаток Веба, ИМХО) на проверку дисков. Результат -- на лице.
> > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> > заражённых файлов. В основном Netsky, иногда MyDoom и
> чего
> > помельче... Кстати, АВП рекомендован для применения
> > Минфином Украины... 8-( )
>
> "рексона-спонсор правительсва Украины. Знаем что врет, но
> доказать не можем":-)))) (с) КВН
Я -- могу доказать. 8)))))
|
| | |
Есть смысл поставить антивирус для почтовых сервисов 02.06.04 13:31
Автор: Garick <Yuriy> Статус: Elderman
|
> > > К вопросу о лицензированном софте...
> > > Полчаса назад снёс с почтового сервера
> Касперского и
> >
> > кашпер для почтовых сервисов или дестоп\сервер?
> > если последний вариант в почтовом демоне надо включить
> > проверку ящиков монитором
> Десктоп-сервер. Подключённого модуля не нашёл. Надо
> полагать, нету его. Стоит монитор и по идее чего-то ловит.
> Знать бы, чего он ловит...
КАВ для НТ серверов? может выключена опция проверять почтовые базы и\или не умеет он это делать и\или почтовый демон использует "хитрые" (зашифрованные) почтовые базы. Модуль в комплекте не идет.
Чего ловит? логи надо бы посмотреть...:-)))
Какой почтовый демон?
>
> >
> > > поставил Веба с пиратским ключём. Результат: за
> десять
> >
> > "специализация" вебера?
> Никакой специализации. Просто тупо выкачаный с дрвеб.ру
> дистрибутив плюс асталависта. Запустил собссно Веба
> (Спайдер, увы, на серверах не крутится -- единственный
> недостаток Веба, ИМХО) на проверку дисков. Результат -- на
> лице.
>
Есть у вебера продукт и для серверов и для почтовых демонов... Надо поискать...:-)))
|
| | | |
В смысле, модуль покупается отдельно? Тогда, боюсь, это уже... 02.06.04 13:51
Автор: Lurga Статус: Elderman
|
> КАВ для НТ серверов? может выключена опция проверять
> почтовые базы и\или не умеет он это делать и\или почтовый
> демон использует "хитрые" (зашифрованные) почтовые базы.
> Модуль в комплекте не идет.
В смысле, модуль покупается отдельно? Тогда, боюсь, это уже не при моей жизни. Что курирующая организация предоставила, то и того... Я и Веба-то ставить права не имел, потому как -- "рекомендовано..."
> Чего ловит? логи надо бы посмотреть...:-)))
Увы, не настолько интересно. =))
> Какой почтовый демон?
МДемон. Насколько я понял по ветке, стандартно. 8)))
> Есть у вебера продукт и для серверов и для почтовых
> демонов... Надо поискать...:-)))
Угу... Иксовый? ;))) Вот заведу сервак на Иксах -- тогда и подключу.
|
| | | | |
У AltN есть свой почтовый антивирь на базе/основе кашпера... 02.06.04 14:13
Автор: Garick <Yuriy> Статус: Elderman
|
> > Какой почтовый демон?
> МДемон. Насколько я понял по ветке, стандартно. 8)))
У AltN есть свой почтовый антивирь на базе/основе кашпера. Есть триал на месяц, можно ставить и если понравиться... Решать уже Вам.:-)))
AltN AntiVirus
|
| | | | | |
Пасиб за участие. =))) 02.06.04 14:22
Автор: Lurga Статус: Elderman
|
> > > Какой почтовый демон?
> > МДемон. Насколько я понял по ветке, стандартно. 8)))
> У AltN есть свой почтовый антивирь на базе/основе кашпера.
> Есть триал на месяц, можно ставить и если понравиться...
> Решать уже Вам.:-)))
Всё может быть. Ещё не знаю. Может, вообще забью на антивирусную защиту серверов -- пускай сами втыкаются... А вообще, перефразируя одного политика, когда я слышу фамилию "Касперский", моя рука тянется к пистолету...
|
|
Т.е. это письма с вирусами, которые KAV пропустил???
26.05.04 18:29
Автор: Yurii <Юрий> Статус: Elderman
|
> Полчаса назад снёс с почтового сервера Касперского и
> поставил Веба с пиратским ключём. Результат: за десять
> минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> заражённых файлов. В основном Netsky, иногда MyDoom и чего
> помельче... Кстати, АВП рекомендован для применения
> Минфином Украины... 8-( )
Т.е. это письма с вирусами, которые KAV пропустил???
Сомнительно выглядит...
Может что-то криво настроено было, базы не обновлялись и т.д.???
Подскажи версию KAV.
|
| |
Хрен его знает, письма это или не письма. 26.05.04 18:44
Автор: Lurga Статус: Elderman
|
> > Полчаса назад снёс с почтового сервера Касперского и
> > поставил Веба с пиратским ключём. Результат: за десять
> > минут работы 1125 (ОДНА ТЫСЯЧА СТО ДВАДЦАТЬ ПЯТЬ)
> > заражённых файлов. В основном Netsky, иногда MyDoom и
> чего
> > помельче... Кстати, АВП рекомендован для применения
> > Минфином Украины... 8-( )
>
> Т.е. это письма с вирусами, которые KAV пропустил???
> Сомнительно выглядит...
> Может что-то криво настроено было, базы не обновлялись и
> т.д.???
> Подскажи версию KAV.
Может, их сюда на дискетах приносят и копируют на сервер. Касперский лицензионный, версия 4.5.0.94. Последнее обновление -- 3 апреля 2004 года.
|
| | |
На дискетах червей не носят 02.06.04 12:23
Автор: Garick <Yuriy> Статус: Elderman
|
> Может, их сюда на дискетах приносят и копируют на сервер.
> Касперский лицензионный, версия 4.5.0.94. Последнее
> обновление -- 3 апреля 2004 года.
Принести "тельце" червя на дискете мало вероятно. В документах он не водится, исполняемые файлы практически не заражает, а найти сполнителя червя в системной папке и "случайно" скопировать на дискету мало вероятно:-)))
|
| | | |
Насчёт дискеты -- это типа шутка была. 8)) 02.06.04 12:53
Автор: Lurga Статус: Elderman
|
|
|
| | | | |
Тогда плиз лог (частично) сканера в студию. Посмотреть где "животные" сидят:-))) 02.06.04 13:22
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | | | |
Гы, лог... 02.06.04 13:37
Автор: Lurga Статус: Elderman
|
|
Только сегодняшний незавершённый лог весит 3,5 мега. Не сохранился он, ессно. А сидели они частично в мылах, частично -- в каталоге Винды, и, как это не смешно, в каталоге Касперского.
|
| | | | | | |
Немного подумав....:-)))) 02.06.04 14:33
Автор: Garick <Yuriy> Статус: Elderman
|
> Только сегодняшний незавершённый лог весит 3,5 мега. Не
> сохранился он, ессно. А сидели они частично в мылах,
> частично -- в каталоге Винды, и, как это не смешно, в
> каталоге Касперского.
Netsky и MyDOOM - почтовые черви. Если их обнаруживает в системных каталогах - открывали письма почтовым клиентом на почтовом сервере (а это не есть гуд!), заражена система и сам кашпер, лечить все это "хозяйство" надо и чем быстрее тем лучше:-))) Заодно не забыть про хотфиксы 823980/ 824146/ 835732, тк СП не содержат эти фиксы. А используя уязвимость системы черви "зайдут" даже при любом антивире. Проверено!:-))))
|
| | | | | | | |
Я их потому и решил прошерстить, что странные ответы... 02.06.04 15:42
Автор: Lurga Статус: Elderman
|
> Netsky и MyDOOM - почтовые черви. Если их обнаруживает в
> системных каталогах - открывали письма почтовым клиентом на
> почтовом сервере (а это не есть гуд!), заражена система и
Я их потому и решил прошерстить, что странные ответы посыпались со странных адресов, по которым явно никто не писал.
> сам кашпер, лечить все это "хозяйство" надо и чем быстрее
> тем лучше:-)))
Сделано. Раз в день загоняю Веба, он часа четыре уже винт жуёт, пока -- всё спокойно...
> Заодно не забыть про хотфиксы 823980/
> 824146/ 835732, тк СП не содержат эти фиксы. А используя
> уязвимость системы черви "зайдут" даже при любом антивире.
> Проверено!:-))))
Да надо бы выкачать да поставить... Всё руки не доходят -- грызу Линукса уже месяц, закончить бы с ним уже...
|
| | | | | | | | |
почтовые черви заменяют поле "от:" на случайное из адресной... 02.06.04 17:05
Автор: Garick <Yuriy> Статус: Elderman
|
> Я их потому и решил прошерстить, что странные ответы
> посыпались со странных адресов, по которым явно никто не
> писал.
почтовые черви заменяют поле "от:" на случайное из адресной книги зараженной машины...
в поле "кому:" ставит или из адресной книги или генерит случайное , обычно английское, имя ящика, а домен опять наход в адресбуке.
>
> > сам кашпер, лечить все это "хозяйство" надо и чем
> быстрее
> > тем лучше:-)))
> Сделано. Раз в день загоняю Веба, он часа четыре уже винт
> жуёт, пока -- всё спокойно...
см. ниже
> > Заодно не забыть про хотфиксы 823980/
> > 824146/ 835732, тк СП не содержат эти фиксы. А
> используя
> > уязвимость системы черви "зайдут" даже при любом
> антивире.
> > Проверено!:-))))
> Да надо бы выкачать да поставить... Всё руки не доходят --
> грызу Линукса уже месяц, закончить бы с ним уже...
Как бы поздно не было:-))) Судя по объему лог файла почтового демона, рабочих станций в локалке не мало и если они заражены, "загон" вебера ни к чему не приведет, раз в 1 час будет новое заражение/перезаражение.
|
| | | | | | | | | |
Резюме. =))) 02.06.04 17:18
Автор: Lurga Статус: Elderman
|
> > > Заодно не забыть про хотфиксы 823980/
> > > 824146/ 835732, тк СП не содержат эти фиксы. А
> > используя
> > > уязвимость системы черви "зайдут" даже при любом
> > антивире.
> > > Проверено!:-))))
> > Да надо бы выкачать да поставить... Всё руки не
> доходят --
> > грызу Линукса уже месяц, закончить бы с ним уже...
> Как бы поздно не было:-))) Судя по объему лог файла
> почтового демона, рабочих станций в локалке не мало и если
> они заражены, "загон" вебера ни к чему не приведет, раз в 1
> час будет новое заражение/перезаражение.
Да нет, тут специфика работы -- за редким исключением мыло юзается практически только на почтовике. И не спрашивайте меня "почему" -- так сложилось исторически. =))) Вот с полученным файлОм работают все машины, но с этим попроще -- всё отсылается опять-таки с почтовика, так что больше мороки со всякой гадостью, которую выкачивают из И-нета.
ЗЫ Веб докрутился, грит, всё чисто... Будем посмотреть... 8-//
|
| | | | | | | | | | |
Почтовый клиент? 02.06.04 17:41
Автор: Garick <Yuriy> Статус: Elderman
|
> Да нет, тут специфика работы -- за редким исключением мыло
> юзается практически только на почтовике. И не спрашивайте
> меня "почему" -- так сложилось исторически. =))) Вот с
Если почтовый клиент отглюк/експресс - тогда обязательно ставить не только эти хотфиксы, есть куча дыр в этих почтовых клиентах и достаточно принять письмо для заражения.
> полученным файлОм работают все машины, но с этим попроще --
Что подрозумевается под словом"файлОм"?
может проще ИМАП настроить, благо Мдаемон позволяет и легко...
> всё отсылается опять-таки с почтовика, так что больше
> мороки со всякой гадостью, которую выкачивают из И-нета.
Тогда антивирь прикрутить к проксе и чистить другие рс в локалке...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
