[Michail]

Давайте с еще с одной стороны обсудим эту проблему.

Вот провайдер, как организация обслуживающая клиентов навязчиво(вплоть до отключения) рекомендует вылечить компьтер клиенту. Причем при отсутствии соответствующей возможности у клиента предоставит в помощь софт и специально обученного человека.

Вопросики:

1. насколько правомочно заниматься такой деятельностью? Понятно, что у 90% клиентов софт пиратский да и набор программ для лечения у каждого сервисмена тоже не на сто процентов лицензионно чист. Последствия для оператора в этом случае могут быть довольно чувствительны.

 

2. чисто технически, как этот процесс поставить на поток? Какие есть идеи? Понятно что компакт с виндой PE и установлеными антивирусами может спасти и то не во всех случаях. Переустановка всего и вся на машине клиента процесс не быстрый и при массовой эпидемии просто не хватит людей. Да и квалификация человека должна быть достаточно высокой.

 

3. Какими средствами с клиентской стороны можно уменьшить риск заражения? К примеру у пользователя при каждом подключении к сети проверяется состояние firewall. Или при наличии подозрительной сетевой активности принудительно перенаправляется на страничку с он-лайн сканером вирусов.

[ram_scan]

Всех абонентов "вылечили". Уже дней как 4-5 все тихо, ни одной ботофлудной атаки. Как успехи у коллег?

С час назад снова бахнуло. Причем похоже что одновременно и много где.

Изменено 13 декабря, 2006 пользователем ram_scan

[Прохожий]

2. чисто технически, как этот процесс поставить на поток?

Никак. Корпоративные решения, которые позволяют в одно жало тысячу хостов саппортить - не годятся, потому что подразумевают 100% контроль над системой. А это то, что юзверь не готов отдавать, а оператор - принимать на себя...

3. Какими средствами с клиентской стороны можно уменьшить риск заражения?

Никакими. Точнее говоря, стандартными и известными - файрами, антитрипперами и регулярным обновлением системы.

Как некоторый вариант - можно поднять у себя MS Update сервер, чтобы трафик апдейтов винды был локальным и юзвери не жалели трафика на это дело.

 

Другой вопрос "зиро дей дырки", которых все больше... От этого не поможет ничего.

 

P.S. Сеть все больше начинает напоминать живой организм. Атака вируса вырабатывает иммунитет. Перелихорадит - и снова огурчиком! А вирус мутирует - и снова температура подскочила...

 

А прикол весь в том, что как я уже неоднократно писал, системным решением проблемы является только зажимание юзверя в настолько узкие рамки, на сколько это вообще возможно... Все остальное - паллиативы и симптоматическое лечение...

[Serg_Klp]

1. насколько правомочно заниматься такой деятельностью? Понятно, что у 90% клиентов софт пиратский да и набор программ для лечения у каждого сервисмена тоже не на сто процентов лицензионно чист. Последствия для оператора в этом случае могут быть довольно чувствительны.

Никаких ремонтов на дому у клиента в данном случае происходить не должно. Компьютер привозится и ремонтируется в офисе без участия хозяина. Относительно легитимности использующегося для этого софта - приобретается комплект Винды и антивирус, клиентский жесткий диск подключается к "легальному" компьютеру и лечится.

 

2. чисто технически, как этот процесс поставить на поток? Какие есть идеи? Понятно что компакт с виндой PE и установлеными антивирусами может спасти и то не во всех случаях. Переустановка всего и вся на машине клиента процесс не быстрый и при массовой эпидемии просто не хватит людей. Да и квалификация человека должна быть достаточно высокой.

Чисто технически КВМ свич (клавиатупа, видео, мауз) довольно существенно поднимет производительность одного техника. "Чистка" 5-и машин одновременно - вполне реальные будни. Недостаточно - наращиваем рабочие места. Вирусная эпидемия в принципе не должна переваливать за масштабы, неподдающиеся исправлению. Если это произойдет - то пора будет обьявлять общий аларм по телевидению и средствам массовой информации и прекращать подачу услуги :-)

 

3. Какими средствами с клиентской стороны можно уменьшить риск заражения? К примеру у пользователя при каждом подключении к сети проверяется состояние firewall. Или при наличии подозрительной сетевой активности принудительно перенаправляется на страничку с он-лайн сканером вирусов.

Сообщить абоненту что он является переносчиком заразы - довольно хорошая идея. Технически представляю себе это следующим образом: провайдер по определенным (назовем их "сигнатурами") признакам определяет "чист" клиент или заражен. Далее, зараженные клиенты при попытки открыть какой-либо ресурс перенаправляются не на онлайн сканер (это какое-то насилие моска), а на страницу информирующую о проблеме, с краткими рекомендациями, тех. информацией и контактными телефонами служб техподдержки.

[[Eagle]]

Выловил один подозрительный адрес, на который ломятся зараженные машины по 6667 порту(IRC): 66.90.107.135

[GateKeeper]

$ whois 66.90.107.135

 

OrgName: FDC Servers.net, LLC

OrgID: FDCSE

Address: 141 West Jackson Blvd, Suite 1135

City: Chicago

StateProv: IL

PostalCode: 60604

Country: US

...

 

$ host 66.90.107.135

135.107.90.66.in-addr.arpa domain name pointer t.es.vraiment.un.P.d.la.

 

$ telnet 66.90.107.135 6667

Trying 66.90.107.135...

Connected to t.es.vraiment.un.P.d.la.

Escape character is '^]'.

ERROR :All connections in use

Connection closed by foreign host.

 

Это значит, рановато щеманулись. Час Х не настал.

[Serg_Klp]

' date='14.12.2006, 14:55' post='227292']

Выловил один подозрительный адрес, на который ломятся зараженные машины по 6667 порту(IRC): 66.90.107.135

Собственно Dns resolved irc.420-Mafia.org to 66.90.107.135.

Обычная ИРС-сеть, имеет свой сайт, никаких признаков андерграунда, не считая самого названия Mafia.. :)

[Skylaer]

Да наверняка ломится это чудо в десяток сеток, где сидят боты

ну и там приват для получения времени и адреса атакуемого.

все просто и практически неуловимо

[negod]

Давайте с еще с одной стороны обсудим эту проблему.

Вот провайдер, как организация обслуживающая клиентов навязчиво(вплоть до отключения) рекомендует вылечить компьтер клиенту. Причем при отсутствии соответствующей возможности у клиента предоставит в помощь софт и специально обученного человека.

Вопросики:

1. насколько правомочно заниматься такой деятельностью? Понятно, что у 90% клиентов софт пиратский да и набор программ для лечения у каждого сервисмена тоже не на сто процентов лицензионно чист. Последствия для оператора в этом случае могут быть довольно чувствительны.

 

2. чисто технически, как этот процесс поставить на поток? Какие есть идеи? Понятно что компакт с виндой PE и установлеными антивирусами может спасти и то не во всех случаях. Переустановка всего и вся на машине клиента процесс не быстрый и при массовой эпидемии просто не хватит людей. Да и квалификация человека должна быть достаточно высокой.

 

3. Какими средствами с клиентской стороны можно уменьшить риск заражения? К примеру у пользователя при каждом подключении к сети проверяется состояние firewall. Или при наличии подозрительной сетевой активности принудительно перенаправляется на страничку с он-лайн сканером вирусов.

Есть другой вариант выхода из ситуации, более "коммерческий" что ли, уже опробован на 2 Московских и 1 Королевском интернет-провайдерах. Суть в следующем:

 

При "навязчивой рекомендации" вылечить компьютер пользователю предлагается или сделать это самостоятельно, или обратиться к услугам сторонней организации-сервиса, которая вышлет на дом (в офис) специалиста, который приведет в порядок ПК и проконсультирует, что нужно сделать, дабы в дальнейшем избежать подобных проблем и что делать при повторном заражении вирусом и т. д.

 

Что это дает:

п.1 уходит, - здесь все правовые аспекты на совести сторонней организации.

п.2 тоже уходит - всю работу делают специалисты подрядчика, нет надобности брать в штат и обучать (а это по-любому придется делать) новых сотрудников

п.3 тоже касается - в нормально настроенная специалистом машине с обновляемыми пользователем антивирусными базами риск подхватить вирус практически равен 0.

п.4 у провайдера появляется дополнительный заработок в виде процентов от выполненных подрядчиком работ (что-то типа партнерской программы).

 

Собственно, если кто из провайдеров заинтересовался, пишите на negod@mail.ru, более подробно поясню аспекты такого рода сотрудничества.

 

P.S. Сорри за оффтопик и рекламу )), но это ответ на вопрос, причем действенный. По статистике в 80% визитов к пользователям требовалась полная переустановка всего и вся - люди банально не знают, что такое антивирус, и что его оказывается надо обновлять периодически..

Изменено 18 декабря, 2006 пользователем negod

[leveler]

Хорошая идея. Тоже об этом давно думал. Только вот почему-то начальство не спешит искать себе подрядчика. =(

[GateKeeper]

Есть еще один маленький, но существенный нюанс: очень многие любят, когда всё на халяву. Потому до того момента, когда антивирусник не начнёт обновляться непосредственно из сети провайдера (сиречь - абсолютно не пожирая бабло на балансе) - обновляться будут единицы. В случае же принудительной настройки на автоматическое обновление "по расписанию" возможны и такие случаи:

1. (если клиенту о такой настройке было сообщено и подробно рассказано) - время синхронизации просто-напросто умышленно проё**тся, тем самым базы остаются древними.

2. (если клиенту о такой настройке сообщено не было) - появляются вопросы о "лишнем трафике, который я не заказывал", в дальнейшем разбирательство и т.д. и т.п. - тоже хлопотно.

 

Не, такой вариант - конечно крайность, но надо быть готовыми всегда - психов и просто невменяемых на почве полного отсутствия самооценки в силу полного отсутствия элементарных знаний, а также дикого желания оную самооценку поднять - много.

[Nickel]

Принудительное отключение, это конечно хорошо, только слабо выполнимо - такие ситуации в договоре на предоставление услуги не оговорены, так что отключение не правомочно в принципе. Если с домашними юзверями еще может покатить (и то не с самыми вредными), то с корпоратами - увы.

[leveler]

Значит, надо договор хитро составлять. =)

[GateKeeper]

Антон Богатов, если читаете тред, просьба прокомментировать вопрос о правомочности отключения согласно законодательству (ну, там ссылки на "распространение вредоносного кода", "саботаж" и т.п. "вредительство"). Какие законные основания могут быть (если могут вообще) разрешающими принудительное отключение абонента в случае описанного в треде поведения?

[vIv]

Окончание денег на счёте ;-)

[GateKeeper]

А если корпоративщик с "оплатой по окончании отчётного периода"? Или просто толстый абонент, менее сотни баксов на балансе не имеющий?

[vIv]

Звонок "А вы давно свой баланс смотрели? Вы знаете, с какой скоростью вы влезаете в долги?" ;-))

Изменено 20 декабря, 2006 пользователем vIv

[Nickel]

Значит, надо договор хитро составлять. =)

поздно составлять, отключать уже пора ))

имхо проще поброть заразу технически, чем пытаься насильно насадить компьютерную граммотность среди населения. К тому же, антивирусы ведь небесплатные, а попробуй приучи народ такие вещи покупать.

[leveler]

Можно отключить и ждать, пока позвонит клиент. А потом ему сказать, что мол хз - будем заявку принимать. :)

[GateKeeper]

После такого можно и на иск нарваться. Особенно, если "заявку принимать" будете в течение 5-6 часов (или сколько там иму венду вылечить по времени займёт), а в договоре "на устранение - не более 4 часов".

[Прохожий]

В сухом остатке следующее:

 

1. Компьютер пользователя оператору неподконтролен, и никогда подконтролен не будет.

 

2. Следовательно, ничего на нем ни сделать кроме того, что сделает сам юзверь

 

3. Заставить юзверя сделать что-то - можно только чисто теоретически. Отсутствие четкого технического регулирования в этой области не оставляет никаких шансов.

 

4. Значит надо научиться жить с тем, что есть. Трипперы и ненужная активность должны давиться сетью.

 

Открытый вопрос: как?

[UglyAdmin]

Компьютер пользователя по мере движения в бытовые приборы будет постепенно мигрировать в сторону игровой приставки типа XBox и прочей аналогичной Trusted Platform, на которой никакого неподписанного кода исполнять просто не будет. И ПО обновляться будет через Инет автоматически, или не обновляться вообще (что вряд ли).

А пока выход только один - отключать, пока не вылечится. :(

Я так думаю, у всех в договорах есть пункты и рассылке спама, вирусов и т.п. деструктивной активности.

[Прохожий]

Компьютер пользователя по мере движения в бытовые приборы будет постепенно мигрировать в сторону игровой приставки типа XBox и прочей аналогичной Trusted Platform, на которой никакого неподписанного кода исполнять просто не будет. И ПО обновляться будет через Инет автоматически, или не обновляться вообще (что вряд ли).

Не так быстро, как хотелось бы. При этом на каждую броню найдется свой снаряд... Просто нет (пока!) в количествах, достойных внимания, игровых приставок, подключенных к сети. Иначе мы бы уже видели ботнеты из плейстейшенов и иксбоксов.

[Gull]

Не так быстро, как хотелось бы. При этом на каждую броню найдется свой снаряд... Просто нет (пока!) в количествах, достойных внимания, игровых приставок, подключенных к сети. Иначе мы бы уже видели ботнеты из плейстейшенов и иксбоксов.

Число приставок в сети исчисляется миллионами.

[SergeiK]

А что составляет основную проблему для сети провайдера в вирусах клиента?

 

1. Рассылка спама (могут заблэклистить сеть провадера, его почтовый сервер).

2. Мощный флуд по какому-то адресу.

3. Веерная рассылка по множеству адресов, что сильно огорчает всякие L3 коммутаторы, ну и роутерам тоже достается.

 

Что-то еще?

 

С первым можно бороться только фильтрацией 25 порта.

Со вторым хорошо справляется unicast storm-control.

С третьим меня порадовал HP с вирус-тротолиногм.

Осталось все совместить за разумные деньги.

 

Есть еще неразумные варианты типа модуля в Cisco 6500 или Cisco ASA5500 проверкой контента на лету, но для нынешнего операторства это пока слишком круто.