Jump to content
Калькуляторы

Как поступать с завирусованными? Реальный опыт wanted

Собрал систему, которая срабатывает на клиентов с вирусней.

Но появился вопрос - что делать дальше?

Рубить доступ - могут свалить, к более нерадивым конкурентам, которым насрать на говно, которое летит от клиентов.

Не трогать? Дык мало того, что от клиента летит всякий мусор и забивает каналы и оборудование, так и клиент недоволен - "че так все медленно".

 

На реальном опыте убедился, что вывешивать бесплатные тулзы бесполезно, современную вирусню даже касперский выкорчевать не может (столкнулся с руткитом на промышленном оборудовании со SCADA, куча спецсофта, пришлось останавливать все механизмы и грузить линукс, из которого выдрал всю вирусную).

 

Как быть? Как дальше жить?

Я думаю сделать временно блочить инет клиенту и вывешивать на любой запрос на веб страничку (ессно перефразировать в более приятное для глаза)- "у вас вирус, полечить можно так и так, но если вы хотите пользоваться интернетом, и понимаете что ваши действия могут привести к .... и возможно ваш интернет будет медленным - нажмите кнопку ********".

 

 

Share this post


Link to post
Share on other sites
Может начать с адресной рассылки на e-mail ?
на какой емэйл будете слать мне? у меня, в разрезе домосеток, три разных ethernet провайдера на 5 точек подключения. (2 по 2 и 1 в 1). ни один из трех провайдеров не озаботился ни выдать мне емэйла (а почтовый сервер есть у каждого) при подключении, ни спросил контактного емэйла.

 

контактный телефон - да. записали. но звонят они на него только с предложениями подключится к ним же.

 

думаю, пора начинать соглашаться с их предложениями о переходе от "другого" провайдера. каждый раз - подключение при переходе =0, 3 месяца без абонентки, и скорости выше и IP TV полный пакет и VoIP бонусом...

Share this post


Link to post
Share on other sites

Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

Share this post


Link to post
Share on other sites
Емейл не читают...

Неужели никого вирусня не колышет?

Колышет, еще как. После запуска "веника" загрузка по pps падает на 5-7%.

 

Хомяк, он жаден, в своей массе. И для него купить ОС + антивирь это лишние расходы, хоторые можно "пропить".

В результате for(;;) { блокируем-хомяк лечится-открываем }. Некоторых уже по 15 раз за последние 2 недели.

Пока только так, ибо большее не предусмотренно договором и законодательством.

 

И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

Share this post


Link to post
Share on other sites

cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?

Share this post


Link to post
Share on other sites
cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?
У меня таких ~70%. Т.е. по статистике у ~70% более одной блокировки за вирье в течении 2х недель. Это с учетом того,

что по возможности стараемся и c&c найти и заблочить на своей сети.

Share this post


Link to post
Share on other sites

Понятно, значит буду принимать подобные меры

Разблочился - если говно летит - попал под блокировку снова

Share this post


Link to post
Share on other sites

А про какую вирусню идет речь конкретней? У меня написано пару правил iptables с этого форума, для блокировки спамеров, никто не жаловался. Если только завирусованые юридические лица, но это нам только на руку, мы их сразу после консультации в отдел маркетинга отправляем, где им антивирусы собственно и продают.

Share this post


Link to post
Share on other sites
И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

Из бесплатных можно рекомендовать Microsoft Security Essentials. У Microsoft врядли есть мотивация делать сильно ухудшенные бесплатные версии (как вариант - специальные базы) по сравнению с производителями коммерческих версий. Антивирус прост, приятно выглядит, практически незаметен в смысле тормозов.

Единственное - делает при установке проверку легальности ОС.

Edited by Картуччо

Share this post


Link to post
Share on other sites

Единственное - делает при установке проверку легальности ОС.

и много Вы видели легальных ОС у хомяков?

Share this post


Link to post
Share on other sites

Сейчас у всех сборки стоят на основе vlk версий. Они все проходят валидацию. Ну и куча народа с ноутбуками, там тоже лицензия стоит.

Share this post


Link to post
Share on other sites
Единственное - делает при установке проверку легальности ОС.
и много Вы видели легальных ОС у хомяков?

Немало. Как предустановленное на ноутбуках/нетбуках и готовых (не самосборных) десктопах, так и даже коробочные версии.

При этом проверка легальности проходит и на некоторых ломанных виндах.

Edited by Картуччо

Share this post


Link to post
Share on other sites
Но появился вопрос - что делать дальше?
http://www.novotelecom.ru/people/kpd/

 

за спам или банить или отключать 25 порт (если железо потянет). т.к. иначе наши диапазоны попадают в блеклисты.

Share this post


Link to post
Share on other sites

Со спамом как раз более-менее ясно =(

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

Share this post


Link to post
Share on other sites
cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?

Значит опять эту страничку - захочет в инет попасть - вылечится.

Share this post


Link to post
Share on other sites

Или к другому пойдет ))

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

Присоеденяюсь.

пс. я бы зеркалил трафик на отдельный порт свича, а в него уже комп с чем-нибудь вроде aide. Но другие возможности тоже интересны...

 

Share this post


Link to post
Share on other sites

ну и не забыть пунктик в бумагах о том что юзер может быть заблокирован автоматической системой.

Share this post


Link to post
Share on other sites
Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?

Share this post


Link to post
Share on other sites

можно еще COMODO посоветовать, его неплохо подняли за последнее время.

 

Share this post


Link to post
Share on other sites
Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?

SMTP проверка. + проверка аномалий сетевого трафика.

В случае срабатывания - notify subscriber & block traffic

указан нужный redirect set на отдельный http-хост

Share this post


Link to post
Share on other sites

Проверка аномалий - собственно сенсоры на DNS, HTTP, SYN rate, PPS rate, определенные порты и паттерны. Софт - самописный, под GlobalOS.

Еще собираюсь написать детекторы обращений на C&C сервера ботнетов.

 

Share this post


Link to post
Share on other sites
указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

 

Share this post


Link to post
Share on other sites
указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

Народ привык ipconfig /flushdns уже делать, кто не первый раз попадается =)

 

Иногда звонят в саппорт. Не так страшно, в общем.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this