Антивирусное ПО под сервер. Есть ли надежда ....

andreiXL · Сообщение **andreiXL** » 06 окт 2004, 10:16

Раньше всегда пользовался DrWeb'ом с триальным ключом.
Теперь как я понял халява окончена. Проблема банальная - денег на лицензию нет! Подскажите посоветуйте люди добрые как жить дальше. Какая есть альтернатива и что можно другого впихнуть чтобы денег не платить?!?!?

Система Freebsd 4.4.1.

Сообщение **corvax** » 06 окт 2004, 10:53

andreiXL писал(а):Раньше всегда пользовался DrWeb'ом с триальным ключом.
Теперь как я понял халява окончена. Проблема банальная - денег на лицензию нет! Подскажите посоветуйте люди добрые как жить дальше. Какая есть альтернатива и что можно другого впихнуть чтобы денег не платить?!?!?
Система Freebsd 4.4.1.

1. лучше таки обновиться
2. перечитать хоть некоторые треды данного форума
тема clamav'а обсуждалась не раз

Сообщение **setar** » 06 окт 2004, 11:16

Пока одна из альтернатив как сказано выше clamav
вот тема по этому вопросу http://www.3nity.ru/viewtopic.htm?t=2912

Andrey Y. Ostanovsky

setar писал(а):Пока одна из альтернатив как сказано выше clamav
вот тема по этому вопросу http://www.3nity.ru/viewtopic.htm?t=2912

Ну, ссылка рассказывает, в основном, про коллекцию портов.

Что касается clamav - у меня на нескольких серверах стоит. При небольшой нагрузке ведет себя вполне нормально, при серьезной заклинивает (там грабли где-то в разборе MIME заголовков). Пришлось даже в periodic вставлять скрипт, принудительно убивающий зависшие сессии раз в сутки.

Установленный перед коммерческим drweb - почему-то не все вирусы отлавливает, то-ли база обновляется быстрее, то ли еще что-то влияет. По сравнению с триальным - ловит все.

Сообщение **corvax** » 11 окт 2004, 13:42

Andrey Y. Ostanovsky писал(а):Установленный перед коммерческим drweb - почему-то не все вирусы отлавливает, то-ли база обновляется быстрее, то ли еще что-то влияет. По сравнению с триальным - ловит все.

а какой установлен clamav? release? devel?
можно каким-либо образом получить примеры зараженных писем, не отлавлиемых clamav'ом? или clamav просто позже начинает их отлавливать, чем drweb?

Andrey Y. Ostanovsky

corvax писал(а):
Andrey Y. Ostanovsky писал(а):Установленный перед коммерческим drweb - почему-то не все вирусы отлавливает, то-ли база обновляется быстрее, то ли еще что-то влияет. По сравнению с триальным - ловит все.
а какой установлен clamav? release? devel?

# pkg_info|grep clam
clamav-0.75.1 Command line virus scanner written entirely in C

corvax писал(а):можно каким-либо образом получить примеры зараженных писем, не отлавлиемых clamav'ом? или clamav просто позже начинает их отлавливать, чем drweb?

O InputMailFilters=drweb-filter, clmilter
Нда, тут, похоже, напарник постарался.

Хотя вручную все равно не ловит.

# drweb -path=/var/drweb/infected/drweb.quarantine.tU5QdN
/var/drweb/infected/drweb.quarantine.tU5QdN - archive MAIL
>/var/drweb/infected/drweb.quarantine.tU5QdN/message_marketing.zip infected with Win32.HLLM.Netsky.35328

# clamscan /var/drweb/infected/drweb.quarantine.tU5QdN
/var/drweb/infected/drweb.quarantine.tU5QdN: OK

----------- SCAN SUMMARY -----------
Known viruses: 24286
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.04 MB
I/O buffer size: 131072 bytes
Time: 2.023 sec (0 m 2 s)

# less /var/drweb/infected/drweb.quarantine.tU5QdN
Return-Path: ********@******.ru
.......
This is a multi-part message in MIME format.
------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit

Your important document, correction is finished!

------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: application/octet-stream;
name="message_marketing.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="message_marketing.zip"

Сообщение **corvax** » 11 окт 2004, 14:23

Andrey Y. Ostanovsky писал(а):
corvax писал(а):
Andrey Y. Ostanovsky писал(а):Установленный перед коммерческим drweb - почему-то не все вирусы отлавливает, то-ли база обновляется быстрее, то ли еще что-то влияет. По сравнению с триальным - ловит все.
а какой установлен clamav? release? devel?
# pkg_info|grep clam
clamav-0.75.1 Command line virus scanner written entirely in C
corvax писал(а):можно каким-либо образом получить примеры зараженных писем, не отлавлиемых clamav'ом? или clamav просто позже начинает их отлавливать, чем drweb?
O InputMailFilters=drweb-filter, clmilter
Нда, тут, похоже, напарник постарался.

Хотя вручную все равно не ловит.

# drweb -path=/var/drweb/infected/drweb.quarantine.tU5QdN
/var/drweb/infected/drweb.quarantine.tU5QdN - archive MAIL
>/var/drweb/infected/drweb.quarantine.tU5QdN/message_marketing.zip infected with Win32.HLLM.Netsky.35328

# clamscan /var/drweb/infected/drweb.quarantine.tU5QdN
/var/drweb/infected/drweb.quarantine.tU5QdN: OK

man clamscan | col -b | grep -A 2 -e --mbox

или надо использовать для таких тестов clamdscan

Andrey Y. Ostanovsky писал(а):----------- SCAN SUMMARY -----------
Known viruses: 24286
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.04 MB
I/O buffer size: 131072 bytes
Time: 2.023 sec (0 m 2 s)

# less /var/drweb/infected/drweb.quarantine.tU5QdN
Return-Path: ********@******.ru
.......
This is a multi-part message in MIME format.
------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit

Your important document, correction is finished!

------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: application/octet-stream;
name="message_marketing.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="message_marketing.zip"

если clamscan --mbox и/или clamdscan не найдут в этом письме вирус, можно выложить его где-нить и сообщить линк на мой личный адрес?

Andrey Y. Ostanovsky

corvax писал(а):если clamscan --mbox и/или clamdscan не найдут в этом письме вирус, можно выложить его где-нить и сообщить линк на мой личный адрес?

С ключиками - находит.

Это я, выходит, погорячился. Был уверен, что clamav запускается первым, а в почтовых отчетах репорты от DrWeb сплошняком идут. Оказывается, напарник переключил последовательность работы антивирусов и забыл мне об этом сказать.

Virus! · Сообщение **Virus!** » 20 окт 2004, 07:59

может я не совсем в тему... но вот скажите есть ли надежда что когда-нибудь будет Антивирус чтобы к squid прикрутить можно было??
или есть, но я не вкурсях?

mrrc · Сообщение **mrrc** » 20 окт 2004, 10:08

Dr.Web ICAP, но он еще недоработан до приемлемого варианта, чтобы активно его можно было использовать на производстве.

http://beta.drweb.com/

Сообщение **corvax** » 06 ноя 2004, 18:53

Virus! писал(а):может я не совсем в тему... но вот скажите есть ли надежда что когда-нибудь будет Антивирус чтобы к squid прикрутить можно было??
или есть, но я не вкурсях?

сам не пробовал:
http://www.opennet.ru/opennews/art.shtml?num=4232

по упомянутому в треде Dr.Web ICAP (это кусок анонаса 4.32.2):

-------- Original Message --------
Subject: New builds of Dr.Web (R) for Unix
Date: Wed, 03 Nov 2004 13:28:22 +0300
From: Sergey Akhapkin <asv @ drweb.ru>
Reply-To: drweb-unix @ drweb.ru
Organization: Doctor Web Ltd. (http://www.drweb.com)
To: drweb-unix-announce @ drweb.ru

=====================================================================
!!! NEW !!! Dr.Web (R) ICAP plugin - 4.32.2 !!! NEW !!!
=====================================================================

drweb-icapd connects to a proxy server which supports icap and Dr.Web
daemon for scanning incoming http-traffic for viruses. At present the
support of icap is included into Squid proxy server and is planned in
Opps! proxy server.
=====================================================================

mrrc · Сообщение **mrrc** » 07 ноя 2004, 08:51

В общем-то, свои функции продукт выполняет, но разработчики поторопились объявить о переводе данного продукта в состояние релиза, много чего там не успели доделать из занесенного в Bug Tracker, что обидно, выложив в качестве релиза неисправленную бету месячной давности с некоторыми очевидными недоработками.
Уважающая себя фирма, на мой взгляд, такие вещи не должна делать, но у Drweb иное мнение, как показывает время.
Человек, непосредственно занимающийся работами по этому продукту, похоже, сам был удивлен произошедшим.
На днях выйдет исправленная версия, должно быть.

Так же заложенный в фильтр и многообещающий режим preview, который должен позволять управлять размером проверяемых объектов и их типами, фактически на текущий момент не работает.

Прогресс-бара пока не предвидится, не позволяет сам протокол icap.

Сообщение **Stranger03** » 09 ноя 2004, 12:18

andreiXL писал(а):Раньше всегда пользовался DrWeb'ом с триальным ключом.
Теперь как я понял халява окончена. Проблема банальная - денег на лицензию нет! Подскажите посоветуйте люди добрые как жить дальше. Какая есть альтернатива и что можно другого впихнуть чтобы денег не платить?!?!?
Система Freebsd 4.4.1.

А чем вам Касперский не нравится? У меня стоит на нескольких боевых серверах, тьфу, тьфу, работает. Ключ под него найти попроще, чем на дрвеб.

Антивирусное ПО под сервер. Есть ли надежда ....

Антивирусное ПО под сервер. Есть ли надежда ....

Re: Антивирусное ПО под сервер. Есть ли надежда ....

Re: Антивирусное ПО под сервер. Есть ли надежда ....

Кто сейчас на конференции