DBL: virus-detect

Обсуждение распределенного бан-листа
Ответить
Junior
Сообщения: 37
Зарегистрирован: Вт фев 01, 2005 15:52

DBL: virus-detect

Сообщение Junior »

"Скажите мне Киса, как художник художнику - Вы рисовать умеете?" (с)
Зачем эта "DBL: virus-detect" нужна? Установленный rejik подразумевает наличие SQUID, в подавляющем большинстве это
*nix система. Что мешает сделать проверку почты средствами
почтового сервера и антивирусного софта? Ну или на крайний случай
на стороне клиента. Зачем городить огороды? Даже если имеются почтовые ящики "на стороне", а не на родном почтовике, то есть smtp-proxy, которые проверят.
Делать ради забавы? Да ещё получить геморрой с
"Внимание: многие сайты в данном листе вполне легальны и их блокировка может вызвать нарекание пользователей.
Используйте с осторожностью." Отслеживать потом ложные срабатывания? Давайте лучше оставим ловить вирусы clamav-у (или drweb, kav etc), а режику резать порно, баннеры, музыку и проч.

Удачного дня.

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Сообщение Slava »

Многие вирусы блокируют антивирусный софт. Если вирус уже в системе, антивирус может его и не поймать.

Например, на машину со "старыми" базами для антивируса приходит вирус, прописывается и блокирует антивирус или по крайней мере попытки обновить антивирусные базы.

Вирус кстати может придти и не по почте, а на дискете или с сайта. (У Вас антивирус на проксе стоит? https трафик проверяет?)

К тому же, никто ведь не заставляет пользоваться этим листом. Особенно, если ложные срабатывания критичнее вирусной активности.

Я попробовал у себя и обнаружил несколько завирусованных машин. И антивирус стоял и все с ним внешне нормально было. Но пока не удалил вирус вручную и не переставил антивирус, ничего не обнаруживалось.

Junior
Сообщения: 37
Зарегистрирован: Вт фев 01, 2005 15:52

Сообщение Junior »

На одном сервере стоят и прокси-сервер и почтовый сервер, а также биллинг. Почтовый - Postfix + clamav + amavisd-new + spamassassin + sasl-auth. Никаких причин для недоверия clamav за годы использования нет. Параллельно на рабочих станциях стоят DrWeb с ежечасным обновлением баз с локального сервреа (он сам забирает базы от диалогнауки :) ) Ни разу на рабочей станции доктор не нашёл пропущенный вирус, ни разу! За две недели сервер отловил только указанный Вами вирус 30 раз (только что проверил), вернее 28. Это исключительно Bagle, не говоря уже о других.
Пользователям запрещён доступ на "неблагонадёжные" сайты, скачка аудио-видео, доступ по "голым" IP-адресам (без обратного реверса DNS), режем банеры, js. От дискет отучены давно уже, напуганы примером падения компа гл. экономиста во время отчёта за пол-года.
Трафик по ftp-, https-, http-контенту не проверяю. Если что-то настораживает, то ежедневно, во время обеда планировщик на рабочих станциях запускает проверку антивирусом. Политика безопасности браузеров настроена так, что "что-то получить" нельзя без яного согласия. А так как страх потерять данные, а с ними и работу вселяет благоговейный ужас в работников, то проблем нет.
Т.е. если будет обнаружен вирус (гипотетически), то вина работника будет налицо. Ещё не обнаруживался. Понятие "старые антивирусные базы" это как? Из серии "немного сгоревшая лампочка"? База либо самая свежая, либо никакая.

"Пусть параноя, но зато никакой головной боли и проблем"

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Сообщение Slava »

У нас тоже раз в час обновляется. "старые", это в которые не успела попасть сигнатура пришедшего вируса. Например из за сбоя в системе обновления. Или вот случай был, обновления качаются, ставятся, а антивирус их как то не так воспринял и фактически имеем старые базы.

Методов защиты много и, к сожалению, каждый из них не универсален. Я лишь предлагаю еще один метод, который лично проверил на практике и получил положительный результат.

Junior
Сообщения: 37
Зарегистрирован: Вт фев 01, 2005 15:52

Сообщение Junior »

Да ладно, не воспринимайте ворчание старого админа как упрёк. :)
Ваш редиректор мне вообще симпатичен, использую его в работе с первый версии. Есть у меня конечно свои замечания по некоторым моментам, кое с чем я вообще не согласен, но программа отличная и с работой справляется. "А что ещё нужно человеку, чтобы встретить старость?" :)

Удачного дня!

Ответить