Jump to content
Калькуляторы

Как поступать с завирусованными? Реальный опыт wanted

Reply to this topic

nuclearcat   

nuclearcat
Posted

Собрал систему, которая срабатывает на клиентов с вирусней.

Но появился вопрос - что делать дальше?

Рубить доступ - могут свалить, к более нерадивым конкурентам, которым насрать на говно, которое летит от клиентов.

Не трогать? Дык мало того, что от клиента летит всякий мусор и забивает каналы и оборудование, так и клиент недоволен - "че так все медленно".

 

На реальном опыте убедился, что вывешивать бесплатные тулзы бесполезно, современную вирусню даже касперский выкорчевать не может (столкнулся с руткитом на промышленном оборудовании со SCADA, куча спецсофта, пришлось останавливать все механизмы и грузить линукс, из которого выдрал всю вирусную).

 

Как быть? Как дальше жить?

Я думаю сделать временно блочить инет клиенту и вывешивать на любой запрос на веб страничку (ессно перефразировать в более приятное для глаза)- "у вас вирус, полечить можно так и так, но если вы хотите пользоваться интернетом, и понимаете что ваши действия могут привести к .... и возможно ваш интернет будет медленным - нажмите кнопку ********".

 

 

Share this post

Link to post
Share on other sites

stas_k   

stas_k
Posted
Может начать с адресной рассылки на e-mail ?
на какой емэйл будете слать мне? у меня, в разрезе домосеток, три разных ethernet провайдера на 5 точек подключения. (2 по 2 и 1 в 1). ни один из трех провайдеров не озаботился ни выдать мне емэйла (а почтовый сервер есть у каждого) при подключении, ни спросил контактного емэйла.

 

контактный телефон - да. записали. но звонят они на него только с предложениями подключится к ним же.

 

думаю, пора начинать соглашаться с их предложениями о переходе от "другого" провайдера. каждый раз - подключение при переходе =0, 3 месяца без абонентки, и скорости выше и IP TV полный пакет и VoIP бонусом...

Share this post

Link to post
Share on other sites

cmhungry   

cmhungry
Posted

Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

Share this post

Link to post
Share on other sites

bitbucket   

bitbucket
Posted
Емейл не читают...

Неужели никого вирусня не колышет?

Колышет, еще как. После запуска "веника" загрузка по pps падает на 5-7%.

 

Хомяк, он жаден, в своей массе. И для него купить ОС + антивирь это лишние расходы, хоторые можно "пропить".

В результате for(;;) { блокируем-хомяк лечится-открываем }. Некоторых уже по 15 раз за последние 2 недели.

Пока только так, ибо большее не предусмотренно договором и законодательством.

 

И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

Share this post

Link to post
Share on other sites

bitbucket   

bitbucket
Posted
cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?
У меня таких ~70%. Т.е. по статистике у ~70% более одной блокировки за вирье в течении 2х недель. Это с учетом того,

что по возможности стараемся и c&c найти и заблочить на своей сети.

Share this post

Link to post
Share on other sites

pliskinsad   

pliskinsad
Posted

А про какую вирусню идет речь конкретней? У меня написано пару правил iptables с этого форума, для блокировки спамеров, никто не жаловался. Если только завирусованые юридические лица, но это нам только на руку, мы их сразу после консультации в отдел маркетинга отправляем, где им антивирусы собственно и продают.

Share this post

Link to post
Share on other sites

Картуччо   

Картуччо
Posted (edited)
И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

Из бесплатных можно рекомендовать Microsoft Security Essentials. У Microsoft врядли есть мотивация делать сильно ухудшенные бесплатные версии (как вариант - специальные базы) по сравнению с производителями коммерческих версий. Антивирус прост, приятно выглядит, практически незаметен в смысле тормозов.

Единственное - делает при установке проверку легальности ОС.

Edited by Картуччо

Share this post

Link to post
Share on other sites

Nickuz   

Nickuz
Posted

Единственное - делает при установке проверку легальности ОС.

и много Вы видели легальных ОС у хомяков?

Share this post

Link to post
Share on other sites

pliskinsad   

pliskinsad
Posted

Сейчас у всех сборки стоят на основе vlk версий. Они все проходят валидацию. Ну и куча народа с ноутбуками, там тоже лицензия стоит.

Share this post

Link to post
Share on other sites

Картуччо   

Картуччо
Posted (edited)
Единственное - делает при установке проверку легальности ОС.
и много Вы видели легальных ОС у хомяков?

Немало. Как предустановленное на ноутбуках/нетбуках и готовых (не самосборных) десктопах, так и даже коробочные версии.

При этом проверка легальности проходит и на некоторых ломанных виндах.

Edited by Картуччо

Share this post

Link to post
Share on other sites

woddy   

woddy
Posted
Но появился вопрос - что делать дальше?
http://www.novotelecom.ru/people/kpd/

 

за спам или банить или отключать 25 порт (если железо потянет). т.к. иначе наши диапазоны попадают в блеклисты.

Share this post

Link to post
Share on other sites

sirmax   

sirmax
Posted

Со спамом как раз более-менее ясно =(

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

Share this post

Link to post
Share on other sites

nashvill   

nashvill
Posted
cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?

Значит опять эту страничку - захочет в инет попасть - вылечится.

Share this post

Link to post
Share on other sites

a_andry   

a_andry
Posted

Или к другому пойдет ))

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

Присоеденяюсь.

пс. я бы зеркалил трафик на отдельный порт свича, а в него уже комп с чем-нибудь вроде aide. Но другие возможности тоже интересны...

 

Share this post

Link to post
Share on other sites

karpa13a   

karpa13a
Posted

ну и не забыть пунктик в бумагах о том что юзер может быть заблокирован автоматической системой.

Share this post

Link to post
Share on other sites

Alex780   

Alex780
Posted
Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?

Share this post

Link to post
Share on other sites

cmhungry   

cmhungry
Posted
Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?

SMTP проверка. + проверка аномалий сетевого трафика.

В случае срабатывания - notify subscriber & block traffic

указан нужный redirect set на отдельный http-хост

Share this post

Link to post
Share on other sites

nuclearcat   

nuclearcat
Posted

Проверка аномалий - собственно сенсоры на DNS, HTTP, SYN rate, PPS rate, определенные порты и паттерны. Софт - самописный, под GlobalOS.

Еще собираюсь написать детекторы обращений на C&C сервера ботнетов.

 

Share this post

Link to post
Share on other sites

a_andry   

a_andry
Posted
указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

 

Share this post

Link to post
Share on other sites

cmhungry   

cmhungry
Posted
указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

Народ привык ipconfig /flushdns уже делать, кто не первый раз попадается =)

 

Иногда звонят в саппорт. Не так страшно, в общем.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing У нага