[nuclearcat]

Собрал систему, которая срабатывает на клиентов с вирусней.

Но появился вопрос - что делать дальше?

Рубить доступ - могут свалить, к более нерадивым конкурентам, которым насрать на говно, которое летит от клиентов.

Не трогать? Дык мало того, что от клиента летит всякий мусор и забивает каналы и оборудование, так и клиент недоволен - "че так все медленно".

 

На реальном опыте убедился, что вывешивать бесплатные тулзы бесполезно, современную вирусню даже касперский выкорчевать не может (столкнулся с руткитом на промышленном оборудовании со SCADA, куча спецсофта, пришлось останавливать все механизмы и грузить линукс, из которого выдрал всю вирусную).

 

Как быть? Как дальше жить?

Я думаю сделать временно блочить инет клиенту и вывешивать на любой запрос на веб страничку (ессно перефразировать в более приятное для глаза)- "у вас вирус, полечить можно так и так, но если вы хотите пользоваться интернетом, и понимаете что ваши действия могут привести к .... и возможно ваш интернет будет медленным - нажмите кнопку ********".

 

 

[visir]

Может начать с адресной рассылки на e-mail ?

[stas_k]

Может начать с адресной рассылки на e-mail ?

на какой емэйл будете слать мне? у меня, в разрезе домосеток, три разных ethernet провайдера на 5 точек подключения. (2 по 2 и 1 в 1). ни один из трех провайдеров не озаботился ни выдать мне емэйла (а почтовый сервер есть у каждого) при подключении, ни спросил контактного емэйла.

 

контактный телефон - да. записали. но звонят они на него только с предложениями подключится к ним же.

 

думаю, пора начинать соглашаться с их предложениями о переходе от "другого" провайдера. каждый раз - подключение при переходе =0, 3 месяца без абонентки, и скорости выше и IP TV полный пакет и VoIP бонусом...

[nuclearcat]

Емейл не читают...

Неужели никого вирусня не колышет?

[cmhungry]

Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

[bitbucket]

Емейл не читают...

Неужели никого вирусня не колышет?

Колышет, еще как. После запуска "веника" загрузка по pps падает на 5-7%.

 

Хомяк, он жаден, в своей массе. И для него купить ОС + антивирь это лишние расходы, хоторые можно "пропить".

В результате for(;;) { блокируем-хомяк лечится-открываем }. Некоторых уже по 15 раз за последние 2 недели.

Пока только так, ибо большее не предусмотренно договором и законодательством.

 

И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

[nuclearcat]

cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?

[bitbucket]

cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?

У меня таких ~70%. Т.е. по статистике у ~70% более одной блокировки за вирье в течении 2х недель. Это с учетом того,

что по возможности стараемся и c&c найти и заблочить на своей сети.

[nuclearcat]

Понятно, значит буду принимать подобные меры

Разблочился - если говно летит - попал под блокировку снова

[pliskinsad]

А про какую вирусню идет речь конкретней? У меня написано пару правил iptables с этого форума, для блокировки спамеров, никто не жаловался. Если только завирусованые юридические лица, но это нам только на руку, мы их сразу после консультации в отдел маркетинга отправляем, где им антивирусы собственно и продают.

[Картуччо]

И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый

каспер ничего сделать с плотно севшем руткитом не может.

Из бесплатных можно рекомендовать Microsoft Security Essentials. У Microsoft врядли есть мотивация делать сильно ухудшенные бесплатные версии (как вариант - специальные базы) по сравнению с производителями коммерческих версий. Антивирус прост, приятно выглядит, практически незаметен в смысле тормозов.

Единственное - делает при установке проверку легальности ОС.

Edited March 15, 2010 by Картуччо

[Nickuz]

Единственное - делает при установке проверку легальности ОС.

и много Вы видели легальных ОС у хомяков?

[pliskinsad]

Сейчас у всех сборки стоят на основе vlk версий. Они все проходят валидацию. Ну и куча народа с ноутбуками, там тоже лицензия стоит.

[Картуччо]

Единственное - делает при установке проверку легальности ОС.

и много Вы видели легальных ОС у хомяков?

Немало. Как предустановленное на ноутбуках/нетбуках и готовых (не самосборных) десктопах, так и даже коробочные версии.

При этом проверка легальности проходит и на некоторых ломанных виндах.

Edited March 15, 2010 by Картуччо

[woddy]

Но появился вопрос - что делать дальше?

http://www.novotelecom.ru/people/kpd/

 

за спам или банить или отключать 25 порт (если железо потянет). т.к. иначе наши диапазоны попадают в блеклисты.

[sirmax]

Со спамом как раз более-менее ясно =(

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

[nashvill]

cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?

Значит опять эту страничку - захочет в инет попасть - вылечится.

[a_andry]

Или к другому пойдет ))

 

nuclearcat

Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps?

Присоеденяюсь.

пс. я бы зеркалил трафик на отдельный порт свича, а в него уже комп с чем-нибудь вроде aide. Но другие возможности тоже интересны...

 

[karpa13a]

ну и не забыть пунктик в бумагах о том что юзер может быть заблокирован автоматической системой.

[Alex780]

Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?

[separaf]

можно еще COMODO посоветовать, его неплохо подняли за последнее время.

 

[cmhungry]

Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"".

Негатива нет.

А можно поподробнее, как это реализовано у вас на SCE?

SMTP проверка. + проверка аномалий сетевого трафика.

В случае срабатывания - notify subscriber & block traffic

указан нужный redirect set на отдельный http-хост

[nuclearcat]

Проверка аномалий - собственно сенсоры на DNS, HTTP, SYN rate, PPS rate, определенные порты и паттерны. Софт - самописный, под GlobalOS.

Еще собираюсь написать детекторы обращений на C&C сервера ботнетов.

 

[a_andry]

указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

 

[cmhungry]

указан нужный redirect set на отдельный http-хост

А как-то боретесь с кешированием броузера запрашиваемой страницы?

У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится.

Народ привык ipconfig /flushdns уже делать, кто не первый раз попадается =)

 

Иногда звонят в саппорт. Не так страшно, в общем.