The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"kavkeeper2 странно работает"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"kavkeeper2 странно работает"
Сообщение от Konstantin Искать по авторуВ закладки on 13-Июн-02, 11:51  (MSK)
Приветствую ВСЕХ!

Установил KAV3 по инструкции которую прислали из службы поддержки Касперского:
[вот она]
1. Создайте стандартный sendmail.cf файл ( без KAV, можно взять sendmail.cf
из стандартной поставки Linux ( FreeBSD/BSDi/etc ), скопируйте его в каталог
/etc, создайте копию этого файла в каталоге /etc с именем /etc/sendmail.queue.cf
2. Скопируйте файл kavkeeper2.m4 в каталог пакета sendmail-cf/mailer
3. В файл sendmail.mc добавьте строки:
define(`QUEUE_DIR',`/var/spool/mqueue1')
MAILER(kavkeeper2)
и постройте из него /etc/sendmail.listen.cf с помощью m4
4. в файле kavkeeper.ini замените строку запуска sendmail на
sendmail=/usr/sbin/sendmail -oi -C/etc/sendmail.queue.cf -i -f$f -- $u
5. Создайте каталог для второй очереди:
mkdir /var/spool/mqueue1
chown root.mail mqueue1
6. Измените стартовый файл sendmail так, что бы запускались две версии sendmail:
/sbin/sendmail -bd -C /etc/sendmail.listen.cf
/sbin/sendmail -q10m -C /etc/sendmail.queue.cf
[конец]

Все работает, вирусы ловятся, сообщения рассылаются, но на ящик администратора группы которому должно приходить сообщение от kavkeepera с зараженным письмом приходит отлуп от MAILER-DAEMON содержащий:

The original message was received at Thu, 6 Jun 2002 15:13:54 +0300
from root@localhost

   ----- The following addresses had permanent fatal errors -----
/var/log/kavcheck%d%m%y.log
    (reason: 550 Host unknown)

   ----- Transcript of session follows -----
550 5.1.2 /var/log/kavcheck%d%m%y.log... Host unknown (Name server: y.log: host not
found)

и вложенное собщение, то которое kavkeeper должен был отослать на адрес администратора группы (адрес администратора группы и адрес с которого шлет kavkeeper один и тот же).
То есть происходит следуюшие: kavkeeper отловив письмо с вирусом и обработав его согласно правилам группы отсылает предупреждения отправителю и получателю письма с вирусом а само письмо с вирусом пытается послать не по адресу который указан в поле "infectednotify", а используя параметр "logfile=/var/log/kavcheck%y%m%d.log" из того же kavkeeper.ini.
В лог файл kavkeeper при этом пишет все нормально и когда вируса в провереном письме не было и когда он был ....

Что все это может значить??? Как это победить???

Заранее благодарен за любые советы

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: kavkeeper2 странно работает"
Сообщение от lavr emailИскать по авторуВ закладки on 13-Июн-02, 13:25  (MSK)
>Приветствую ВСЕХ!
>
>Установил KAV3 по инструкции которую прислали из службы поддержки Касперского:
>[вот она]
>1. Создайте стандартный sendmail.cf файл ( без KAV, можно взять sendmail.cf
>из стандартной поставки Linux ( FreeBSD/BSDi/etc ), скопируйте его в каталог
>/etc, создайте копию этого файла в каталоге /etc с именем /etc/sendmail.queue.cf
>2. Скопируйте файл kavkeeper2.m4 в каталог пакета sendmail-cf/mailer
>3. В файл sendmail.mc добавьте строки:
>define(`QUEUE_DIR',`/var/spool/mqueue1')
>MAILER(kavkeeper2)
>и постройте из него /etc/sendmail.listen.cf с помощью m4
>4. в файле kavkeeper.ini замените строку запуска sendmail на
>sendmail=/usr/sbin/sendmail -oi -C/etc/sendmail.queue.cf -i -f$f -- $u
>5. Создайте каталог для второй очереди:
>mkdir /var/spool/mqueue1
>chown root.mail mqueue1
>6. Измените стартовый файл sendmail так, что бы запускались две версии sendmail:
>
>/sbin/sendmail -bd -C /etc/sendmail.listen.cf
>/sbin/sendmail -q10m -C /etc/sendmail.queue.cf
>[конец]
>
>Все работает, вирусы ловятся, сообщения рассылаются, но на ящик администратора группы которому
>должно приходить сообщение от kavkeepera с зараженным письмом приходит отлуп от
>MAILER-DAEMON содержащий:
>
>The original message was received at Thu, 6 Jun 2002 15:13:54 +0300
>
>from root@localhost
>
>   ----- The following addresses had permanent fatal errors -----
>
>/var/log/kavcheck%d%m%y.log
>    (reason: 550 Host unknown)
>
>   ----- Transcript of session follows -----
>550 5.1.2 /var/log/kavcheck%d%m%y.log... Host unknown (Name server: y.log: host not
>found)
>
>и вложенное собщение, то которое kavkeeper должен был отослать на адрес администратора
>группы (адрес администратора группы и адрес с которого шлет kavkeeper один
>и тот же).
>То есть происходит следуюшие: kavkeeper отловив письмо с вирусом и обработав его
>согласно правилам группы отсылает предупреждения отправителю и получателю письма с вирусом
>а само письмо с вирусом пытается послать не по адресу который
>указан в поле "infectednotify", а используя параметр "logfile=/var/log/kavcheck%y%m%d.log" из того же
>kavkeeper.ini.
>В лог файл kavkeeper при этом пишет все нормально и когда вируса
>в провереном письме не было и когда он был ....
>
>Что все это может значить??? Как это победить???
>
>Заранее благодарен за любые советы

DNS настрой или пропиши машину в /etc/hosts

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: kavkeeper2 странно работает"
Сообщение от Konstantin Искать по авторуВ закладки on 13-Июн-02, 13:54  (MSK)
>DNS настрой или пропиши машину в /etc/hosts
DNS работает нормально в /etc/hosts машина прописана ... Проблема в том что kavkeeper берет адрес из поля

[log]
usesyslog=no
logfile=/var/log/kavcheck%y%m%d.log "вот отсюда для всех групп"
logonlyinfected=no

если прописать вот так

[log]
usesyslog=yes
#logfile=/var/log/kavcheck%y%m%d.log "вот отсюда для всех групп"
logfile=нужный адрес@ нужный домен
logonlyinfected=no

то письма для всех групп уходят на него, а если так

[log]
usesyslog=no
#logfile=/var/log/kavcheck%y%m%d.log "вот отсюда для всех групп"
logonlyinfected=no

то письма пытаются идти на ./kavkeeper.log

Вот такая ерунда :(((

Куда рыть непонятно ...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: kavkeeper2 странно работает"
Сообщение от lavr emailИскать по авторуВ закладки on 13-Июн-02, 15:05  (MSK)
>>DNS настрой или пропиши машину в /etc/hosts
>DNS работает нормально в /etc/hosts машина прописана ... Проблема в том что
>kavkeeper берет адрес из поля
>
>[log]
>usesyslog=no
>logfile=/var/log/kavcheck%y%m%d.log "вот отсюда для всех групп"
>logonlyinfected=no
>
>если прописать вот так
>
>[log]
>usesyslog=yes
>#logfile=/var/log/kavcheck%y%m%d.log "вот отсюда для всех групп"
>logfile=нужный адрес@ нужный домен
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- фигня какая-то

>logonlyinfected=no
>
>то письма для всех групп уходят на него, а если так
>
>[log]
>usesyslog=no
>#logfile=/var/log/kavcheck%y%m%d.log "вот отсюда для всех групп"
>logonlyinfected=no
>
>то письма пытаются идти на ./kavkeeper.log
>
>Вот такая ерунда :(((
>
>Куда рыть непонятно ...

конкретно пишется:
  ----- The following addresses had permanent fatal errors -----
      /var/log/kavcheck%d%m%y.log
          (reason: 550 Host unknown)

конкретно видно что где-то в ini файле ошибка и вместо адреса
административного пользователя указано /var/log/kavcheck%d%m%y.log
что есть ДИЧЬ

         ----- Transcript of session follows -----
      550 5.1.2 /var/log/kavcheck%d%m%y.log... Host unknown (Name server: y.log: host not
      found)

продолжение предыдущего. Чего непонятного, там где должен быть задан
e-mail адрес, задано имя файла, что есть полная хрень, смотри ini
и поправь строку где обшибся

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: kavkeeper2 странно работает"
Сообщение от Konstantin Искать по авторуВ закладки on 13-Июн-02, 15:29  (MSK)
Вот мой /opt/AVP/kavkeeper/kavkeeper.ini

[mailer]

sendmail=/usr/sbin/sendmail -oi -C/etc/mail/sendmail.queue.cf -i -f$f -- $u

[kavdaemon]

kavdaemonname=kavkeeper@host.mydomen.ru
kavdaemonreturnpath=<#@[]>

[link]

connect=file
temppath=/tmp
socketfile=/var/run/AvpCtl

[log]

usesyslog=no
logfile=/var/log/kavcheck%y%m%d.log
logonlyinfected=no

[group:NOTCHECK]

check=no
to=root@*
to=kavkeeper@*

[group:OURNET]

check=yes
removeinfectedpart=yes
infectedaction=BLOCK
infectednotify=kavkeeper@mydomen.ru
notifyfrom=yes
attachkavanswer=text

from=*@mydomen.ru
to=*@*

[group:DEFAULT]

check=yes
desinfect=no
removeinfectedpart=yes
infectedaction=NOTIFY
infectednotify=kavkeeper@mydomen.ru
attachinfected=no
notifyfrom=yes
attachkavanswer=text


[msg_sender_notify]

subject=SENDER ! Virus found in message from you !
line=
line=You sent to user $u message with VIRUS .
line=======================================
line=KAV Report:
line=======================================
line=$KAVANSWER
line=======================================
line=Bye !
line=


[msg_recipient_notify]

subject=RECIPIENT ! Virus found in message to you !
line=  
line=User $f sent to you mail with virus.
line=-------------------------------------
line= KAV report:
line=-------------------------------------
line=$KAVANSWER
line=-------------------------------------
line=This message redirect to kavkeeper@mydomen.ru
line=


[msg_admin_notify]

subject=ADMIN ! ALARM ! Virus found !
line=  
line=User $f send to user $u. mail with virus.
line=-------------------------------------
line=KAV report:
line=-------------------------------------
line=$KAVANSWER
line=-------------------------------------
line=

Втом то и дело что эта зараза цепляет адрес из поля "logfile" и если там поставить kavkeeper@mydomen.ru то письма и приходят на kavkeeper@mydomen.ru но ведь эта строка указывает путь куда писать логи!!!

Где я не прав?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: kavkeeper2 странно работает"
Сообщение от lavr emailИскать по авторуВ закладки on 13-Июн-02, 18:08  (MSK)
>Вот мой /opt/AVP/kavkeeper/kavkeeper.ini
>
>[mailer]
>
>sendmail=/usr/sbin/sendmail -oi -C/etc/mail/sendmail.queue.cf -i -f$f -- $u
>
>[kavdaemon]
>
>kavdaemonname=kavkeeper@host.mydomen.ru
>kavdaemonreturnpath=<#@[]>
>
>[link]
>
>connect=file
>temppath=/tmp
>socketfile=/var/run/AvpCtl
>
>[log]
>
>usesyslog=no
>logfile=/var/log/kavcheck%y%m%d.log
>logonlyinfected=no
>
>[group:NOTCHECK]
>
>check=no
>to=root@*
>to=kavkeeper@*
>
>[group:OURNET]
>
>check=yes
>removeinfectedpart=yes
>infectedaction=BLOCK
>infectednotify=kavkeeper@mydomen.ru
>notifyfrom=yes
>attachkavanswer=text
>
>from=*@mydomen.ru
>to=*@*
>
>[group:DEFAULT]
>
>check=yes
>desinfect=no
>removeinfectedpart=yes
>infectedaction=NOTIFY
>infectednotify=kavkeeper@mydomen.ru
>attachinfected=no
>notifyfrom=yes
>attachkavanswer=text
>
>
>[msg_sender_notify]
>
>subject=SENDER ! Virus found in message from you !
>line=
>line=You sent to user $u message with VIRUS .
>line=======================================
>line=KAV Report:
>line=======================================
>line=$KAVANSWER
>line=======================================
>line=Bye !
>line=
>
>
>[msg_recipient_notify]
>
>subject=RECIPIENT ! Virus found in message to you !
>line=
>line=User $f sent to you mail with virus.
>line=-------------------------------------
>line= KAV report:
>line=-------------------------------------
>line=$KAVANSWER
>line=-------------------------------------
>line=This message redirect to kavkeeper@mydomen.ru
>line=
>
>
>[msg_admin_notify]
>
>subject=ADMIN ! ALARM ! Virus found !
>line=
>line=User $f send to user $u. mail with virus.
>line=-------------------------------------
>line=KAV report:
>line=-------------------------------------
>line=$KAVANSWER
>line=-------------------------------------
>line=
>
>Втом то и дело что эта зараза цепляет адрес из поля "logfile"
>и если там поставить kavkeeper@mydomen.ru то письма и приходят на kavkeeper@mydomen.ru
>но ведь эта строка указывает путь куда писать логи!!!
>
>Где я не прав?

на первый взгляд ini файл нормальный, предположения:

1) kavkeeper.ini создан не в unix и склеились строки - сомнительно
2) беда с sendmail.cf.* - неверно созданы

честно говоря за@#$л уже support от AVP, могу предложить только такой
путь:

- даешь ТОЧНОЕ ОПИСАНИЕ того что тебе прислали из AVP
- даешь свою версию KAV бинарников, лицензия не нужна, только бинарники

тогда смогу ответить ГДЕ тебе подсунули ЛАЖУ.

Но это уже не в конференции, а личной почтой.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру