Jump to content

Как поступать с завирусованными?

nuclearcat

By nuclearcat
in У нага

 Share

Recommended Posts

nuclearcat

nuclearcat

Posted
Posted

Собрал систему, которая срабатывает на клиентов с вирусней.

Но появился вопрос - что делать дальше?

Рубить доступ - могут свалить, к более нерадивым конкурентам, которым насрать на говно, которое летит от клиентов.

Не трогать? Дык мало того, что от клиента летит всякий мусор и забивает каналы и оборудование, так и клиент недоволен - "че так все медленно".

 

На реальном опыте убедился, что вывешивать бесплатные тулзы бесполезно, современную вирусню даже касперский выкорчевать не может (столкнулся с руткитом на промышленном оборудовании со SCADA, куча спецсофта, пришлось останавливать все механизмы и грузить линукс, из которого выдрал всю вирусную).

 

Как быть? Как дальше жить?

Я думаю сделать временно блочить инет клиенту и вывешивать на любой запрос на веб страничку (ессно перефразировать в более приятное для глаза)- "у вас вирус, полечить можно так и так, но если вы хотите пользоваться интернетом, и понимаете что ваши действия могут привести к .... и возможно ваш интернет будет медленным - нажмите кнопку ********".

 

 

stas_k

stas_k

Posted
Posted
Может начать с адресной рассылки на e-mail ?
на какой емэйл будете слать мне? у меня, в разрезе домосеток, три разных ethernet провайдера на 5 точек подключения. (2 по 2 и 1 в 1). ни один из трех провайдеров не озаботился ни выдать мне емэйла (а почтовый сервер есть у каждого) при подключении, ни спросил контактного емэйла.

 

контактный телефон - да. записали. но звонят они на него только с предложениями подключится к ним же.

 

думаю, пора начинать соглашаться с их предложениями о переходе от "другого" провайдера. каждый раз - подключение при переходе =0, 3 месяца без абонентки, и скорости выше и IP TV полный пакет и VoIP бонусом...

bitbucket

bitbucket

Posted
Posted
Емейл не читают...

Неужели никого вирусня не колышет?

Колышет, еще как. После запуска "веника" загрузка по pps падает на 5-7%.

 

Хомяк, он жаден, в своей массе. И для него купить ОС + антивирь это лишние расходы, хоторые можно "пропить".

В результате for(;;) { блокируем-хомяк лечится-открываем }. Некоторых уже по 15 раз за последние 2 недели.

Пока только так, ибо большее не предусмотренно договором и законодательством.

 

И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

bitbucket

bitbucket

Posted
Posted
cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?
У меня таких ~70%. Т.е. по статистике у ~70% более одной блокировки за вирье в течении 2х недель. Это с учетом того,

что по возможности стараемся и c&c найти и заблочить на своей сети.

pliskinsad

pliskinsad

Posted
Posted

А про какую вирусню идет речь конкретней? У меня написано пару правил iptables с этого форума, для блокировки спамеров, никто не жаловался. Если только завирусованые юридические лица, но это нам только на руку, мы их сразу после консультации в отдел маркетинга отправляем, где им антивирусы собственно и продают.

Картуччо

Картуччо

Posted
Posted (edited)
И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

Из бесплатных можно рекомендовать Microsoft Security Essentials. У Microsoft врядли есть мотивация делать сильно ухудшенные бесплатные версии (как вариант - специальные базы) по сравнению с производителями коммерческих версий. Антивирус прост, приятно выглядит, практически незаметен в смысле тормозов.

Единственное - делает при установке проверку легальности ОС.

Edited by Картуччо
Nickuz

Nickuz

Posted
Posted

Единственное - делает при установке проверку легальности ОС.

и много Вы видели легальных ОС у хомяков?

Картуччо

Картуччо

Posted
Posted (edited)
Единственное - делает при установке проверку легальности ОС.
и много Вы видели легальных ОС у хомяков?

Немало. Как предустановленное на ноутбуках/нетбуках и готовых (не самосборных) десктопах, так и даже коробочные версии.

При этом проверка легальности проходит и на некоторых ломанных виндах.

Edited by Картуччо
sirmax

sirmax

Posted
Posted

Со спамом как раз более-менее ясно =(

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

nashvill

nashvill

Posted
Posted
cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?

Значит опять эту страничку - захочет в инет попасть - вылечится.

a_andry

a_andry

Posted
Posted

Или к другому пойдет ))

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

Присоеденяюсь.

пс. я бы зеркалил трафик на отдельный порт свича, а в него уже комп с чем-нибудь вроде aide. Но другие возможности тоже интересны...

 

Alex780

Alex780

Posted
Posted
Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?
cmhungry

cmhungry

Posted
Posted
Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?

SMTP проверка. + проверка аномалий сетевого трафика.

В случае срабатывания - notify subscriber & block traffic

указан нужный redirect set на отдельный http-хост

nuclearcat

nuclearcat

Posted
  • Author
Posted

Проверка аномалий - собственно сенсоры на DNS, HTTP, SYN rate, PPS rate, определенные порты и паттерны. Софт - самописный, под GlobalOS.

Еще собираюсь написать детекторы обращений на C&C сервера ботнетов.

 

a_andry

a_andry

Posted
Posted
указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

 

cmhungry

cmhungry

Posted
Posted
указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

Народ привык ipconfig /flushdns уже делать, кто не первый раз попадается =)

 

Иногда звонят в саппорт. Не так страшно, в общем.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.