nuclearcat Posted March 14, 2010 Собрал систему, которая срабатывает на клиентов с вирусней. Но появился вопрос - что делать дальше? Рубить доступ - могут свалить, к более нерадивым конкурентам, которым насрать на говно, которое летит от клиентов. Не трогать? Дык мало того, что от клиента летит всякий мусор и забивает каналы и оборудование, так и клиент недоволен - "че так все медленно". На реальном опыте убедился, что вывешивать бесплатные тулзы бесполезно, современную вирусню даже касперский выкорчевать не может (столкнулся с руткитом на промышленном оборудовании со SCADA, куча спецсофта, пришлось останавливать все механизмы и грузить линукс, из которого выдрал всю вирусную). Как быть? Как дальше жить? Я думаю сделать временно блочить инет клиенту и вывешивать на любой запрос на веб страничку (ессно перефразировать в более приятное для глаза)- "у вас вирус, полечить можно так и так, но если вы хотите пользоваться интернетом, и понимаете что ваши действия могут привести к .... и возможно ваш интернет будет медленным - нажмите кнопку ********". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
visir Posted March 14, 2010 Может начать с адресной рассылки на e-mail ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted March 14, 2010 Может начать с адресной рассылки на e-mail ?на какой емэйл будете слать мне? у меня, в разрезе домосеток, три разных ethernet провайдера на 5 точек подключения. (2 по 2 и 1 в 1). ни один из трех провайдеров не озаботился ни выдать мне емэйла (а почтовый сервер есть у каждого) при подключении, ни спросил контактного емэйла. контактный телефон - да. записали. но звонят они на него только с предложениями подключится к ним же. думаю, пора начинать соглашаться с их предложениями о переходе от "другого" провайдера. каждый раз - подключение при переходе =0, 3 месяца без абонентки, и скорости выше и IP TV полный пакет и VoIP бонусом... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted March 14, 2010 Емейл не читают... Неужели никого вирусня не колышет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
cmhungry Posted March 14, 2010 Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"". Негатива нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bitbucket Posted March 14, 2010 Емейл не читают... Неужели никого вирусня не колышет? Колышет, еще как. После запуска "веника" загрузка по pps падает на 5-7%. Хомяк, он жаден, в своей массе. И для него купить ОС + антивирь это лишние расходы, хоторые можно "пропить". В результате for(;;) { блокируем-хомяк лечится-открываем }. Некоторых уже по 15 раз за последние 2 недели. Пока только так, ибо большее не предусмотренно договором и законодательством. И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый каспер ничего сделать с плотно севшем руткитом не может. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted March 14, 2010 cmhungry - а есть такие которые жмут "я полечился" и нифига не делают? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bitbucket Posted March 14, 2010 cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?У меня таких ~70%. Т.е. по статистике у ~70% более одной блокировки за вирье в течении 2х недель. Это с учетом того,что по возможности стараемся и c&c найти и заблочить на своей сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted March 14, 2010 Понятно, значит буду принимать подобные меры Разблочился - если говно летит - попал под блокировку снова Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pliskinsad Posted March 15, 2010 А про какую вирусню идет речь конкретней? У меня написано пару правил iptables с этого форума, для блокировки спамеров, никто не жаловался. Если только завирусованые юридические лица, но это нам только на руку, мы их сразу после консультации в отдел маркетинга отправляем, где им антивирусы собственно и продают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Картуччо Posted March 15, 2010 (edited) И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленыйкаспер ничего сделать с плотно севшем руткитом не может. Из бесплатных можно рекомендовать Microsoft Security Essentials. У Microsoft врядли есть мотивация делать сильно ухудшенные бесплатные версии (как вариант - специальные базы) по сравнению с производителями коммерческих версий. Антивирус прост, приятно выглядит, практически незаметен в смысле тормозов.Единственное - делает при установке проверку легальности ОС. Edited March 15, 2010 by Картуччо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted March 15, 2010 Единственное - делает при установке проверку легальности ОС. и много Вы видели легальных ОС у хомяков? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pliskinsad Posted March 15, 2010 Сейчас у всех сборки стоят на основе vlk версий. Они все проходят валидацию. Ну и куча народа с ноутбуками, там тоже лицензия стоит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Картуччо Posted March 15, 2010 (edited) Единственное - делает при установке проверку легальности ОС.и много Вы видели легальных ОС у хомяков? Немало. Как предустановленное на ноутбуках/нетбуках и готовых (не самосборных) десктопах, так и даже коробочные версии.При этом проверка легальности проходит и на некоторых ломанных виндах. Edited March 15, 2010 by Картуччо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
woddy Posted March 15, 2010 Но появился вопрос - что делать дальше? http://www.novotelecom.ru/people/kpd/ за спам или банить или отключать 25 порт (если железо потянет). т.к. иначе наши диапазоны попадают в блеклисты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted March 15, 2010 Со спамом как раз более-менее ясно =( nuclearcat Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nashvill Posted March 15, 2010 cmhungry - а есть такие которые жмут "я полечился" и нифига не делают? Значит опять эту страничку - захочет в инет попасть - вылечится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a_andry Posted March 15, 2010 Или к другому пойдет )) nuclearcatЧуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps? Присоеденяюсь. пс. я бы зеркалил трафик на отдельный порт свича, а в него уже комп с чем-нибудь вроде aide. Но другие возможности тоже интересны... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karpa13a Posted March 15, 2010 ну и не забыть пунктик в бумагах о том что юзер может быть заблокирован автоматической системой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alex780 Posted March 15, 2010 Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"". Негатива нет. А можно поподробнее, как это реализовано у вас на SCE? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
separaf Posted March 15, 2010 можно еще COMODO посоветовать, его неплохо подняли за последнее время. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
cmhungry Posted March 15, 2010 Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"". Негатива нет. А можно поподробнее, как это реализовано у вас на SCE? SMTP проверка. + проверка аномалий сетевого трафика.В случае срабатывания - notify subscriber & block traffic указан нужный redirect set на отдельный http-хост Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted March 15, 2010 Проверка аномалий - собственно сенсоры на DNS, HTTP, SYN rate, PPS rate, определенные порты и паттерны. Софт - самописный, под GlobalOS. Еще собираюсь написать детекторы обращений на C&C сервера ботнетов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a_andry Posted March 16, 2010 указан нужный redirect set на отдельный http-хост А как-то боретесь с кешированием броузера запрашиваемой страницы? У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
cmhungry Posted March 16, 2010 указан нужный redirect set на отдельный http-хост А как-то боретесь с кешированием броузера запрашиваемой страницы? У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится. Народ привык ipconfig /flushdns уже делать, кто не первый раз попадается =) Иногда звонят в саппорт. Не так страшно, в общем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...