forum.opennet.ru - "Дырявый KAV?" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Дырявый KAV?"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Дырявый KAV?"
Сообщение от WilkZ on 15-Янв-03, 18:27 (MSK)
Салют всем, Ситуация следующая - почтовый сервер работает под FreeBSD-4.3, установлены kav-WorkStationSuit и kav-sendmail версии 3.0.136, kavkeeper интегрирован в sendmail. Пару часов назад с сервера пришел целый десяток сообщений - мол, такой-то пользователь в локальной сети пытался отправить зараженные вирусом I-Worm.Avron.b сообщения, которые антивирус успешно заблокировал. Насторожило то, зараженный компьютер обнаружился внутри сети. Двинулся на место происшествия, распахнул MS Outlook - так есть, обнаружилась зараза в папке "Входящие", поступила извне. Иначе говоря, письмо с вирусом было пропущено в локальной сети kavkeeper'ом. Базы обновлялись буквально день назад. Кто-нибудь прокомментирует все вышесказанное?.. Спасибо. В течение последних суток мы зафиксировали два случая, когда антивирус блокировал попытки рабочих станций внутри локальной сети разослать сообщения, инфицированные вирусам , по адресам указанным в записях адресных книг на локальных компьютерах. В обоих случаях причиной заражения были сообщения электронной почты, отправленные сторонним пользователем извне. Иначе говоря, несмотря на недавние обновления, наш антивирус пропустил зараженные сообщения.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Дырявый KAV?, lavr, 18:43 , 15-Янв-03, (1)
- RE: Дырявый KAV?, СергейКа, 18:56 , 15-Янв-03, (2)
  - RE: Дырявый KAV?, СергейКа, 18:58 , 15-Янв-03, (3)
    - RE: Дырявый KAV?, WilkZ, 19:12 , 15-Янв-03, (5)
  - RE: Дырявый KAV?, lavr, 19:10 , 15-Янв-03, (4)
    - RE: Дырявый KAV?, WilkZ, 19:15 , 15-Янв-03, (6)
      - RE: Дырявый KAV?, lavr, 21:06 , 15-Янв-03, (7)
        
        RE: Дырявый KAV?, McFly, 08:11 , 16-Янв-03, (8)
        
        RE: Дырявый KAV?, WilkZ, 09:59 , 16-Янв-03, (9)
        
        RE: Дырявый KAV?, Konstantin, 10:43 , 16-Янв-03, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Дырявый KAV?"

Сообщение от lavr on 15-Янв-03, 18:43  (MSK)

>Салют всем,
>
>Ситуация   следующая  -  почтовый  сервер  работает
> под  FreeBSD-4.3,
>установлены   kav-WorkStationSuit   и   kav-sendmail  версии
> 3.0.136,
>kavkeeper  интегрирован  в  sendmail. Пару часов назад с сервера
>пришел целый десяток сообщений - мол, такой-то пользователь в локальной сети
>пытался отправить зараженные вирусом I-Worm.Avron.b сообщения, которые
>антивирус успешно заблокировал. Насторожило то, зараженный компьютер обнаружился внутри сети. Двинулся на
>место происшествия, распахнул MS Outlook - так есть, обнаружилась зараза в
>папке "Входящие", поступила извне. Иначе говоря, письмо с вирусом было пропущено
>в локальной сети kavkeeper'ом. Базы обновлялись буквально день назад. Кто-нибудь прокомментирует
>все вышесказанное?..
>
>Спасибо.
>
>В  течение  последних  суток мы
>зафиксировали  два  случая, когда антивирус блокировал попытки рабочих
>станций  внутри  локальной  сети  разослать  сообщения, инфицированные
>
>вирусам  ,  по адресам указанным в записях адресных книг
>на  локальных  компьютерах.  В  обоих  случаях причиной
>заражения были
>сообщения  электронной  почты,  отправленные  сторонним  пользователем
>извне.  Иначе  говоря,  несмотря на недавние обновления, наш антивирус
>
>пропустил зараженные сообщения.
кто сказал что вирус только by mail распространяется?
так что все нормально, http например.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Дырявый KAV?"

Сообщение от СергейКа on 15-Янв-03, 18:56  (MSK)

>кто сказал что вирус только by mail распространяется?
>так что все нормально, http например.
человек говорит, что вирус в папке входящие с адресом извне

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Дырявый KAV?"

Сообщение от СергейКа on 15-Янв-03, 18:58  (MSK)

а преценденты с поимкой вирусов извне уже были ранее или как?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Дырявый KAV?"

Сообщение от WilkZ on 15-Янв-03, 19:12  (MSK)

>а преценденты с поимкой вирусов извне уже были ранее или как?
Естественно!..

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Дырявый KAV?"

Сообщение от lavr on 15-Янв-03, 19:10  (MSK)

>>кто сказал что вирус только by mail распространяется?
>>так что все нормально, http например.
>
>человек говорит, что вирус в папке входящие с адресом извне
вполне возможно, новый вирус или долго не апдейтились базы, сперва
прошел вирус, потом скачали новые базы в которых есть сигнатура этого
вируса. Что не клеится?
Еще вариант - запрещать пользователям мудиться с внешними "халявными"
pop3/imap серверами.
Теперь все складывается?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Дырявый KAV?"

Сообщение от WilkZ on 15-Янв-03, 19:15  (MSK)

>вполне возможно, новый вирус или долго не апдейтились базы, сперва
>прошел вирус, потом скачали новые базы в которых есть сигнатура этого
>вируса. Что не клеится?
Все пока что клеится. Вполне разумное объяснение, только вот что думать, если, не дай бог, этот инцидент повторится?
>Еще вариант - запрещать пользователям мудиться с внешними "халявными"
>pop3/imap серверами.
Исключено. Все сидят на локальных мейлбоксах.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Дырявый KAV?"

Сообщение от lavr on 15-Янв-03, 21:06  (MSK)

>>вполне возможно, новый вирус или долго не апдейтились базы, сперва
>>прошел вирус, потом скачали новые базы в которых есть сигнатура этого
>>вируса. Что не клеится?
>
>Все пока что клеится. Вполне разумное объяснение, только вот что думать, если,
>не дай бог, этот инцидент повторится?
>
>>Еще вариант - запрещать пользователям мудиться с внешними "халявными"
>>pop3/imap серверами.
>
>Исключено. Все сидят на локальных мейлбоксах.
если нет принудительного проксирования, не исключено использование
webmail'ов.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Дырявый KAV?"

Сообщение от McFly on 16-Янв-03, 08:11  (MSK)

Рискну заметить, настройки у антивируса нормальные ? в смысле фильтрация входящих и действия над зараженными объектами, может ведь быть настроенно сообщать администратору и пропускать внутрь ?
Отлук - это горе луковое, The bat в студию. Хотябы без команды рассылатся не будет. Ну и другая куча плюсов ....

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Дырявый KAV?"

Сообщение от WilkZ on 16-Янв-03, 09:59  (MSK)

>Рискну заметить, настройки у антивируса нормальные?
Да как сказать... антивирус Касперского под нашим UNIX'ом работает с начала осени минувшего года, и нареканий на его работу до самого последнего времени не было. Вот фрагмент файла kavkeeper.ini, раздел [default]:
check=yes
desinfect=yes
removeinfectedpart=yes
infectedaction=NOTIFY
infectednotify=virus@gasdob.com.ua
attachinfected=no
notifyfrom=yes
attachkavanswer=text

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Дырявый KAV?"

Сообщение от Konstantin on 16-Янв-03, 10:43  (MSK)

>>Рискну заметить, настройки у антивируса нормальные?
>
>Да как сказать... антивирус Касперского под нашим UNIX'ом работает с начала осени
>минувшего года, и нареканий на его работу до самого последнего времени
>не было. Вот фрагмент файла kavkeeper.ini, раздел [default]:
>
>check=yes
>desinfect=yes
>removeinfectedpart=yes
>infectedaction=NOTIFY
>infectednotify=virus@gasdob.com.ua
>attachinfected=no
>notifyfrom=yes
>attachkavanswer=text
Да вроде все верно. Хотя по мне так незачем лечить вирусы ... если в сообщении и есть нужная инфа лучше ее потом руками вытащить. Проверь нет ли лишнего в группе NOTCHECK. Да и верно заметили что еще есть халявная почта с доступом через веб. Заодно посмотри логи на предмет прохождения этих писем через твой почтарь и кипер.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Дырявый KAV?"
Сообщение от lavr on 15-Янв-03, 18:43 (MSK)
>Салют всем, > >Ситуация следующая - почтовый сервер работает > под FreeBSD-4.3, >установлены kav-WorkStationSuit и kav-sendmail версии > 3.0.136, >kavkeeper интегрирован в sendmail. Пару часов назад с сервера >пришел целый десяток сообщений - мол, такой-то пользователь в локальной сети >пытался отправить зараженные вирусом I-Worm.Avron.b сообщения, которые >антивирус успешно заблокировал. Насторожило то, зараженный компьютер обнаружился внутри сети. Двинулся на >место происшествия, распахнул MS Outlook - так есть, обнаружилась зараза в >папке "Входящие", поступила извне. Иначе говоря, письмо с вирусом было пропущено >в локальной сети kavkeeper'ом. Базы обновлялись буквально день назад. Кто-нибудь прокомментирует >все вышесказанное?.. > >Спасибо. > >В течение последних суток мы >зафиксировали два случая, когда антивирус блокировал попытки рабочих >станций внутри локальной сети разослать сообщения, инфицированные > >вирусам , по адресам указанным в записях адресных книг >на локальных компьютерах. В обоих случаях причиной >заражения были >сообщения электронной почты, отправленные сторонним пользователем >извне. Иначе говоря, несмотря на недавние обновления, наш антивирус > >пропустил зараженные сообщения. кто сказал что вирус только by mail распространяется? так что все нормально, http например.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Дырявый KAV?"
	Сообщение от СергейКа on 15-Янв-03, 18:56 (MSK)
	>кто сказал что вирус только by mail распространяется? >так что все нормально, http например. человек говорит, что вирус в папке входящие с адресом извне
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Дырявый KAV?"
	Сообщение от СергейКа on 15-Янв-03, 18:58 (MSK)
	а преценденты с поимкой вирусов извне уже были ранее или как?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Дырявый KAV?"
	Сообщение от WilkZ on 15-Янв-03, 19:12 (MSK)
	>а преценденты с поимкой вирусов извне уже были ранее или как? Естественно!..
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Дырявый KAV?"
	Сообщение от lavr on 15-Янв-03, 19:10 (MSK)
	>>кто сказал что вирус только by mail распространяется? >>так что все нормально, http например. > >человек говорит, что вирус в папке входящие с адресом извне вполне возможно, новый вирус или долго не апдейтились базы, сперва прошел вирус, потом скачали новые базы в которых есть сигнатура этого вируса. Что не клеится? Еще вариант - запрещать пользователям мудиться с внешними "халявными" pop3/imap серверами. Теперь все складывается?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Дырявый KAV?"
	Сообщение от WilkZ on 15-Янв-03, 19:15 (MSK)
	>вполне возможно, новый вирус или долго не апдейтились базы, сперва >прошел вирус, потом скачали новые базы в которых есть сигнатура этого >вируса. Что не клеится? Все пока что клеится. Вполне разумное объяснение, только вот что думать, если, не дай бог, этот инцидент повторится? >Еще вариант - запрещать пользователям мудиться с внешними "халявными" >pop3/imap серверами. Исключено. Все сидят на локальных мейлбоксах.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Дырявый KAV?"
	Сообщение от lavr on 15-Янв-03, 21:06 (MSK)
	>>вполне возможно, новый вирус или долго не апдейтились базы, сперва >>прошел вирус, потом скачали новые базы в которых есть сигнатура этого >>вируса. Что не клеится? > >Все пока что клеится. Вполне разумное объяснение, только вот что думать, если, >не дай бог, этот инцидент повторится? > >>Еще вариант - запрещать пользователям мудиться с внешними "халявными" >>pop3/imap серверами. > >Исключено. Все сидят на локальных мейлбоксах. если нет принудительного проксирования, не исключено использование webmail'ов.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Дырявый KAV?"
	Сообщение от McFly on 16-Янв-03, 08:11 (MSK)
	Рискну заметить, настройки у антивируса нормальные ? в смысле фильтрация входящих и действия над зараженными объектами, может ведь быть настроенно сообщать администратору и пропускать внутрь ? Отлук - это горе луковое, The bat в студию. Хотябы без команды рассылатся не будет. Ну и другая куча плюсов ....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Дырявый KAV?"
	Сообщение от WilkZ on 16-Янв-03, 09:59 (MSK)
	>Рискну заметить, настройки у антивируса нормальные? Да как сказать... антивирус Касперского под нашим UNIX'ом работает с начала осени минувшего года, и нареканий на его работу до самого последнего времени не было. Вот фрагмент файла kavkeeper.ini, раздел [default]: check=yes desinfect=yes removeinfectedpart=yes infectedaction=NOTIFY infectednotify=virus@gasdob.com.ua attachinfected=no notifyfrom=yes attachkavanswer=text
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: Дырявый KAV?"
	Сообщение от Konstantin on 16-Янв-03, 10:43 (MSK)
	>>Рискну заметить, настройки у антивируса нормальные? > >Да как сказать... антивирус Касперского под нашим UNIX'ом работает с начала осени >минувшего года, и нареканий на его работу до самого последнего времени >не было. Вот фрагмент файла kavkeeper.ini, раздел [default]: > >check=yes >desinfect=yes >removeinfectedpart=yes >infectedaction=NOTIFY >infectednotify=virus@gasdob.com.ua >attachinfected=no >notifyfrom=yes >attachkavanswer=text Да вроде все верно. Хотя по мне так незачем лечить вирусы ... если в сообщении и есть нужная инфа лучше ее потом руками вытащить. Проверь нет ли лишнего в группе NOTCHECK. Да и верно заметили что еще есть халявная почта с доступом через веб. Заодно посмотри логи на предмет прохождения этих писем через твой почтарь и кипер.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх