VBA32 for Sendmail Linux Server при обновлении зависает.
[root@localhost Sasha]# vbasmf-ctl update
Прокси и порт прописал в чем может быть проблема?
Заодно, как можно проверить работу программы? Спасибо.:)
Printable View
VBA32 for Sendmail Linux Server при обновлении зависает.
[root@localhost Sasha]# vbasmf-ctl update
Прокси и порт прописал в чем может быть проблема?
Заодно, как можно проверить работу программы? Спасибо.:)
[quote]Заодно, как можно проверить работу программы? Спасибо.[/quote] подсунув ей вирус? ;)
[QUOTE]
VBA32 for Sendmail Linux Server при обновлении зависает.
[root@localhost Sasha]# vbasmf-ctl update
Прокси и порт прописал в чем может быть проблема?
Заодно, как можно проверить работу программы? Спасибо.
[/QUOTE]
Не совсем понял кто именно зависает :].
SENDMAIL, vbasmf или апдейтер.
Чуть больше информации пишется если запустить апдейт вручную так :
vbasmf-ctl --verbose update
По поводу проверки.
Отчет работы фильтра ведется в лог(по умолчанию в /var/log/vba/vbasmf/)
и syslog.
Если переслать через сервер файлик
[URL="http://www.eicar.org/download/eicar.com"]http://www.eicar.org/download/eicar.com[/URL]
как вложение (это тестовый файлик, не являющийся вирусом;
ловится даже без антивирусных баз)
в логе появится следующее сообщение:
-------------------------------------------
queue id: l1KDjp5t007670
from: [email][email protected][/email]
to: [email][email protected][/email]
subject: hello (eicar)
Viruses:
eicar.com - EICAR-Test-File
action: discard
-------------------------------------------
и, в зависимости он настроек, уведомление.
На чистые файлы не ругается, молчит.
Здравствуйте! Большое спасибо за оперативный ответ.:)
[QUOTE=slyfox;96397]Не совсем понял кто именно зависает :].
SENDMAIL, vbasmf или апдейтер.[/QUOTE]
С Sendmail все нормально. Стартует и vbasmf и пишет OK. Зависает апдейтер.
[QUOTE=slyfox;96397]Чуть больше информации пишется если запустить апдейт вручную так :
vbasmf-ctl --verbose update[/QUOTE]
Я так понял больше инфы даст? Куда смотреть? Думаю у меня проблема в conf. Плохо, что инфы мало в readme.
[QUOTE=slyfox;96397]На чистые файлы не ругается, молчит.[/QUOTE]
Вот это хорошо бы исправить. Нужна информация, что мол проверено VBA32 от (дата) и т. д.
[QUOTE=Синауридзе Александр;96426]
Я так понял больше инфы даст? Куда смотреть? Думаю у меня проблема в conf. [/quote]
При ручном запуске вывод идет в stdout, конечно ;)
Вот, к примеру, как апдейтится postfixf (VBA32 Postfix Mail Filter) на одном из моих серверов:
[I]firstcom:~# vbapostfixf-ctl --verbose update
updating VBA antivirus filter for Postfix...
Used options:
product-id: vbapostfixf-linux-glibc2.3
update-from: /home/firstcom/data/Software/vbaupdate/
ini-dir: /opt/vba/vbapostfixf/
local-temp: /var/run/vba/vbapostfixf/update/
local-bin: /opt/vba/vbapostfixf/bin/
local-update: /opt/vba/vbapostfixf/update/
>>> trying to get /opt/vba/vbapostfixf/update/win32.udb
/var/run/vba/vbapostfixf/update/865FEEC739904CA00EF8BF7E6A0E33FC.gz - file downloaded (file size = 11672711)
/var/run/vba/vbapostfixf/update/865feec7.bin - gzip compression used (compressed size = 11672711, file size = 31638711)
Update is successfully completed
reloading VBA antivirus filter for Postfix...[/I]
Причем, замечу, что обновление, как видно из приведенного куска, идет с внутреннего ресурса сети. Т.е. установлен линуксовый Update Center, который вытягивает обновления для всех клиентов во внутренней сети, включая почтовый фильтр. Удобно сделали вирусблокадовцы :)
[quote]Вот это хорошо бы исправить. Нужна информация, что мол проверено VBA32 от (дата) и т. д.[/QUOTE]
Опять таки постфиксовский фильтр умеет прописывать соотв. хэдер в проверяемых письмах. Параметр прописывается в /etc/vba/vbapostfix.conf:
[I]# Whether to add MIME-header X-VBA32: <result> to the message.
# <result> may be one of the next:
# Checked,
# Infected,
# Suspicious,
# WithMacros,
# WARNING! Content-Type: message/partial.
#
# MarkMessage = { yes | no }
#
[B]MarkMessage = yes[/B][/I]
Думаю, что и фильтр для сендмейла должен иметь аналогичный функционал. Сам много лет пользовал sendmail, но, однажды, друг убедил меня попробовать postfix... Когда я узнал насколько легко в постфиксе делаются многие вещи, для которых в сендмейле нужно полдня курить маны, я перешел на него ;) Один сендмейловский мильтер чего стоит. Ну или ручное создание конфига :) Хотя, конечно, можно встретить задачу, где сендмейл будет лучшим выбором.
Спасибо [B]saicat[/B]! Посмотрю и на postfix. А на счет "полдня курить маны", так это же интересно.:P И потом грошь цена админу который не может настроить Sendmail.;)
[QUOTE=Мишка;96230]Во время загрузки лоадера находится вирус, но так, как на изменение настроек установлен пароль, то проверка останавливается и требует его введения (в настройках монитора устновлено лечение, при невозможности удаление, сохранение копии в карантин). Процесс загрузки останавливается на этой стадии до прихода админа... Так и должно быть или можно автоматизировать?[/QUOTE]
Если в ОС действительно вирус, то его нужно обезвредить. Для этого рекомендуется использовать Сканер или Монитор (если вирус им был обнаружен и не заблокирован системой). Судя по всему в Вашем случае ВП находится и блокируется при проверке списка автозагрузки? По нашему мнению - вирус на ПК в организации это ЧП. Если пользователь в состоянии применить Сканер, то это хорошо (Настройки Сканера не блокируются паролем), а если не способен, то без администратора не обойтись.... После обезвреживания можно, а иногда и нужно перегрузить ПК и убедиться, что ВП обезврежена......
Мы еще раз смоделируем эту ситуацию и обсудим возможные изменения. Спасибо.
[QUOTE=HA;96646]Если в ОС действительно вирус, то его нужно обезвредить. Для этого рекомендуется использовать Сканер или Монитор (если вирус им был обнаружен и не заблокирован системой). Судя по всему в Вашем случае ВП находится и блокируется при проверке списка автозагрузки? По нашему мнению - вирус на ПК в организации это ЧП. Если пользователь в состоянии применить Сканер, то это хорошо (Настройки Сканера не блокируются паролем), а если не способен, то без администратора не обойтись.... После обезвреживания можно, а иногда и нужно перегрузить ПК и убедиться, что ВП обезврежена......
Мы еще раз смоделируем эту ситуацию и обсудим возможные изменения. Спасибо.[/QUOTE]
Согласен, но еще неизвестно когда этот вирус был занесен в систему. Антивирус мог обнаружить его и после очередного обновления. Но ситуация, когда для удаления вируса, обнаруженного в автозагрузке, требуется присутствие "человека с паролем" меня озадачила. Само-собой этот вирус был удален впоследствии.
Вопрос тут возник, а запускается ли апдейтер при запуске антивируса, или строго подчиняется установленному расписанию обновления. И будет ли обновляться антивирус если срок следующего обновления уже вышел (компьютер был выключен)?
[QUOTE=Мишка;97933]Вопрос тут возник, а запускается ли апдейтер при запуске антивируса, или строго подчиняется установленному расписанию обновления. И будет ли обновляться антивирус если срок следующего обновления уже вышел (компьютер был выключен)?[/QUOTE]
При не поврежденном Комплексе обновление будет запущено после загрузки Диспетчера, если просрочено время обновления. Соответственно, "если срок следующего обновления уже вышел (компьютер был выключен)", после загрузки Диспетчера через 2-3 мин. должно начаться обновление.
Вышла в свет обновленная бета версия файловых средств защиты. Изменения можно увидеть в Whatsnew.win.
В этой версии учтены многие пожелания бета-тестеров, исправлено значительное количество ошибок, повышена стабильность и расширены возможности эмулятора.
02.03.2007 Vba32 3.12.0 beta
Просьба обратить внимание:
+ детектирование mail-бомб
Могли произойти изменения при обработке архивов. Прежние ложные срабатывания и некорректная обработка mail-бомб должны быть исправлены
+ возможность устанавливать ограничение размера на проверяемые архивы, в
консольном сканере флаг /al=n, N - размер архива в Кб
В случае не обработки архива по данному критерию должно выдаваться соответствующее сообщение
+ реализована обработка почтовых баз Outlook2007
Под обработкой подразумевается не только детектирование, но и обезвреживание (лечение) вирусов во всех почтовых базах Outlook (97-2007)
* улучшена стабильность работы с протоколом IMAP
Особенно интересует стабильность работы различных почтовых клиентов с различными настройками, забирающих почту по IMAP, как под 9х системами, так и под NT-2003
* исправлена ошибка при помещении в Карантин из Outlook-плагина
Была проблема помещения не всех инфицированных аттачей в Карантин
* устранены ошибки в SendLogs в Win9x
Теперь довольно удобно добавлять в сообщение формируемое SendLogs (Поддержка - Обратиться за поддержкой) используя drag-and-drop файлы под всеми ОС (9х-2003). Рекомендую использовать для обратной связи и формирования вопросов по работе Комплекса.
* улучшено восстановление реестра при обезвреживании троянских программ
Это должно позволить решить проблемы с выдачей сообщений ОС после обезвреживания особенно злостных троянов. Количество мест восстановления реестра значительно возросло.
Ждем Ваших замечаний и предложений. Релиз не за горами.... :)
А для Linux-сового сканера будут какие новшества или изменения?
Да, обратите внимание Исследования антивирусов 5 пост #79. Сканер сначала нашел вирус в почтовом сообщении, потом при повторном сканировании он вирус не обнаружил, а последний раз он обнаружил вирус но уже под другим именем (OScope.Worm.GSDA.Nuwar). Что означает по Вашей классификации OScope и GSDA? И может Вы приведете полный список их вариантов с расшифровкой. Думаю многим будет интересно.:)
Просьба обратить пристальное внимание на закладку в Мониторе – Фоновая проверка.
Фоновая проверка работает следующим образом: при включении монитора и выполнении условий включения фоновой проверки (загрузка процессора, дисковая активность – ниже заданных, т.е. Ваш ПК не загружен выполнением каких либо задач, перемещение мыши не является интенсивным – ниже заданного параметра, т.е. пользователь не слишком интенсивно работает за ПК), начинается проверка файлов по указанным и выбранным путям. Во время этой проверки обработанные файлы заносятся в кэш нулевого уровня монитора. Это дает возможность при дальнейшем использовании этих файлов операционной системой или пользователем практически свести к нулю время проверки этих файлов Монитором и исключает дополнительную загрузку процессора. Одновременно с занесением в кэш, файлы по выбранным путям подвергаются проверке на наличие вредоносных программ. И, если пользователь задаст в пути фоновой проверки системные каталоги и те каталоги, которые по его мнению, подлежат частой проверке ("Program Files", "Documents and Settings", Download), то обнаружение в них вредоносных программ, ранее каким либо образом попавших на ПК, произойдет значительно раньше, чем они будут запущены или пользователь проведет сканирование этих каталогов Сканером. Если пользователь (движение мыши) и операционная система начинает использовать ПК (процессор, диски), то фоновая проверка приостанавливается. При наступлении следующей паузы в работе ПК (загрузка ниже заданных параметров) - происходит продолжение фоновой проверки. После обработки всех заданных путей фоновая проверка останавливается до следующего включения монитора или прихода следующего обновления баз... Так как после окончания фоновой проверки обработанные файлы находятся в КЭШе нулевого уровня, то монитор практически не замедляет работу пользователя и не возникает желания выключить монитор. Выключение и включение монитора приводит к повторной фоновой проверке заданных путей, поэтому выключение монитора не рекомендуется.
Вопрос состоит в следующем: какие параметры, пути, по Вашему мнению и для Вашего ПК, в настройках фоновой проверки лучше задавать по умолчанию? Нужны ли эти настройки пользователю и в дальнейшем?
Уважаемые бета-тестеры, сканирование всех дисков может занимать довольно продолжительное время, если включена настройка – Проверять архивы. Следует ли, по Вашему мнению, сделать возможность проверять выбранные пользователем типы архивов? Сильно ли увеличивает время сканирования проверка файлов типа *.chm?
[QUOTE=HA;98539]Следует ли, по Вашему мнению, сделать возможность проверять выбранные пользователем типы архивов? [/QUOTE]
IMHO лучше ввести опцию "не проверять архивы > N mb"
[QUOTE=userr;98555]IMHO лучше ввести опцию "не проверять архивы > N mb"[/QUOTE]
Уже недавно сделали такую опцию ;) Есть в текущей бете.
[QUOTE=saicat;98599]Уже недавно сделали такую опцию ;) Есть в текущей бете.[/QUOTE]
Я знаю. Но речь про будущий релиз. Там такой опции ИМХО достаточно.
Проверка CHM очень сильно увеличивает время проверки, это верно. Наиболее сильное замедление - это файлы инсталляции MS Office или уже инсталлированный Office. Ещё сильно замедляет дело сканирование CAB-файлов установки самой Windows.
Необходимо сделать ограничение по размеру сканируемых архивов.
[QUOTE=MedvedD;98701]Проверка CHM очень сильно увеличивает время проверки, это верно. Наиболее сильное замедление - это файлы инсталляции MS Office или уже инсталлированный Office. Ещё сильно замедляет дело сканирование CAB-файлов установки самой Windows.
Необходимо сделать ограничение по размеру сканируемых архивов.[/QUOTE]
Спасибо, с замедлением как бы понятно..... Настройки по ограничению обрабатываемых архивов по размеру - уже в Бете.
Остались два вопроса: Стоит ли разделять архивы по типам? И БОЛЬШОЙ вопрос ( #373) о Фоновой проверке.......
[QUOTE=HA;98538]Просьба обратить пристальное внимание на закладку в Мониторе – Фоновая проверка.
...
Вопрос состоит в следующем: какие параметры, пути, по Вашему мнению и для Вашего ПК, в настройках фоновой проверки лучше задавать по умолчанию? Нужны ли эти настройки пользователю и в дальнейшем?[/QUOTE]
По моему мнению, по умолчанию задавать что-то типа c:\windows (без включения подкаталогов), c:\windows\system32, c:\Program Files.
Давать пользователю возможность управления процессом фонового сканирования имхо стоит. Никаких отрицательных моментов в этом я не вижу. Если подходить к вопросу с точки зрения "слишком сложно для среднего пользователя", так такой средний пользователь в остальных настройках комплекса тоже не разберется. :'-(
Вообще, стоит сделать режим упрощенного управления комплексом для обычных пользователей, который будет состоять в перемещении [B]одного[/B] большого ползунка туда-сюда :smoke_man В зависимости от установленного таким пользователем положения (макс. защита /проверяется всё, что можно/, оптимальная защита /баланс/, минимальная защита /быстродействие/, защита выкл.) предустанавливается тот или иной профиль настроек комплекса.
А специалистам оставьте доступ к максимально возможному числу настроек, не стоит загонять их в рамки "обычных пользователей" :P