nuclearcat Опубликовано 14 марта, 2010 · Жалоба Собрал систему, которая срабатывает на клиентов с вирусней. Но появился вопрос - что делать дальше? Рубить доступ - могут свалить, к более нерадивым конкурентам, которым насрать на говно, которое летит от клиентов. Не трогать? Дык мало того, что от клиента летит всякий мусор и забивает каналы и оборудование, так и клиент недоволен - "че так все медленно". На реальном опыте убедился, что вывешивать бесплатные тулзы бесполезно, современную вирусню даже касперский выкорчевать не может (столкнулся с руткитом на промышленном оборудовании со SCADA, куча спецсофта, пришлось останавливать все механизмы и грузить линукс, из которого выдрал всю вирусную). Как быть? Как дальше жить? Я думаю сделать временно блочить инет клиенту и вывешивать на любой запрос на веб страничку (ессно перефразировать в более приятное для глаза)- "у вас вирус, полечить можно так и так, но если вы хотите пользоваться интернетом, и понимаете что ваши действия могут привести к .... и возможно ваш интернет будет медленным - нажмите кнопку ********". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 14 марта, 2010 · Жалоба Может начать с адресной рассылки на e-mail ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 14 марта, 2010 · Жалоба Может начать с адресной рассылки на e-mail ?на какой емэйл будете слать мне? у меня, в разрезе домосеток, три разных ethernet провайдера на 5 точек подключения. (2 по 2 и 1 в 1). ни один из трех провайдеров не озаботился ни выдать мне емэйла (а почтовый сервер есть у каждого) при подключении, ни спросил контактного емэйла. контактный телефон - да. записали. но звонят они на него только с предложениями подключится к ним же. думаю, пора начинать соглашаться с их предложениями о переходе от "другого" провайдера. каждый раз - подключение при переходе =0, 3 месяца без абонентки, и скорости выше и IP TV полный пакет и VoIP бонусом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 14 марта, 2010 · Жалоба Емейл не читают... Неужели никого вирусня не колышет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 14 марта, 2010 · Жалоба Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"". Негатива нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 14 марта, 2010 · Жалоба Емейл не читают... Неужели никого вирусня не колышет? Колышет, еще как. После запуска "веника" загрузка по pps падает на 5-7%. Хомяк, он жаден, в своей массе. И для него купить ОС + антивирь это лишние расходы, хоторые можно "пропить". В результате for(;;) { блокируем-хомяк лечится-открываем }. Некоторых уже по 15 раз за последние 2 недели. Пока только так, ибо большее не предусмотренно договором и законодательством. И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленый каспер ничего сделать с плотно севшем руткитом не может. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 14 марта, 2010 · Жалоба cmhungry - а есть такие которые жмут "я полечился" и нифига не делают? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 14 марта, 2010 · Жалоба cmhungry - а есть такие которые жмут "я полечился" и нифига не делают?У меня таких ~70%. Т.е. по статистике у ~70% более одной блокировки за вирье в течении 2х недель. Это с учетом того,что по возможности стараемся и c&c найти и заблочить на своей сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 14 марта, 2010 · Жалоба Понятно, значит буду принимать подобные меры Разблочился - если говно летит - попал под блокировку снова Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 15 марта, 2010 · Жалоба А про какую вирусню идет речь конкретней? У меня написано пару правил iptables с этого форума, для блокировки спамеров, никто не жаловался. Если только завирусованые юридические лица, но это нам только на руку, мы их сразу после консультации в отдел маркетинга отправляем, где им антивирусы собственно и продают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 15 марта, 2010 (изменено) · Жалоба И я тоже заметил: бесплатный софт сейчас мало что ловит: avira раньше еще как-то что-то ловила, сейчас уже и купленыйкаспер ничего сделать с плотно севшем руткитом не может. Из бесплатных можно рекомендовать Microsoft Security Essentials. У Microsoft врядли есть мотивация делать сильно ухудшенные бесплатные версии (как вариант - специальные базы) по сравнению с производителями коммерческих версий. Антивирус прост, приятно выглядит, практически незаметен в смысле тормозов.Единственное - делает при установке проверку легальности ОС. Изменено 15 марта, 2010 пользователем Картуччо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 15 марта, 2010 · Жалоба Единственное - делает при установке проверку легальности ОС. и много Вы видели легальных ОС у хомяков? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 15 марта, 2010 · Жалоба Сейчас у всех сборки стоят на основе vlk версий. Они все проходят валидацию. Ну и куча народа с ноутбуками, там тоже лицензия стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 15 марта, 2010 (изменено) · Жалоба Единственное - делает при установке проверку легальности ОС.и много Вы видели легальных ОС у хомяков? Немало. Как предустановленное на ноутбуках/нетбуках и готовых (не самосборных) десктопах, так и даже коробочные версии.При этом проверка легальности проходит и на некоторых ломанных виндах. Изменено 15 марта, 2010 пользователем Картуччо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 15 марта, 2010 · Жалоба Но появился вопрос - что делать дальше? http://www.novotelecom.ru/people/kpd/ за спам или банить или отключать 25 порт (если железо потянет). т.к. иначе наши диапазоны попадают в блеклисты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 15 марта, 2010 · Жалоба Со спамом как раз более-менее ясно =( nuclearcat Чуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nashvill Опубликовано 15 марта, 2010 · Жалоба cmhungry - а есть такие которые жмут "я полечился" и нифига не делают? Значит опять эту страничку - захочет в инет попасть - вылечится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a_andry Опубликовано 15 марта, 2010 · Жалоба Или к другому пойдет )) nuclearcatЧуть подробнее о методах детектирования вирусов можно? и на каких скоростях работает система, сколько траффика перемолачивает? сколько pps? Присоеденяюсь. пс. я бы зеркалил трафик на отдельный порт свича, а в него уже комп с чем-нибудь вроде aide. Но другие возможности тоже интересны... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 15 марта, 2010 · Жалоба ну и не забыть пунктик в бумагах о том что юзер может быть заблокирован автоматической системой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex780 Опубликовано 15 марта, 2010 · Жалоба Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"". Негатива нет. А можно поподробнее, как это реализовано у вас на SCE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
separaf Опубликовано 15 марта, 2010 · Жалоба можно еще COMODO посоветовать, его неплохо подняли за последнее время. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 15 марта, 2010 · Жалоба Я показываю страничку "здравствуйте, у вас вирус. антивирус дают тут. полечитесь и нажмите кнопку "я полечился"". Негатива нет. А можно поподробнее, как это реализовано у вас на SCE? SMTP проверка. + проверка аномалий сетевого трафика.В случае срабатывания - notify subscriber & block traffic указан нужный redirect set на отдельный http-хост Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 15 марта, 2010 · Жалоба Проверка аномалий - собственно сенсоры на DNS, HTTP, SYN rate, PPS rate, определенные порты и паттерны. Софт - самописный, под GlobalOS. Еще собираюсь написать детекторы обращений на C&C сервера ботнетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a_andry Опубликовано 16 марта, 2010 · Жалоба указан нужный redirect set на отдельный http-хост А как-то боретесь с кешированием броузера запрашиваемой страницы? У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 16 марта, 2010 · Жалоба указан нужный redirect set на отдельный http-хост А как-то боретесь с кешированием броузера запрашиваемой страницы? У некоторых клиентов броузеры удачно забивают на заголовки вроде 'Cache-Control'=>'no-cache, в итоге им приходится много раз нажимать на кнопку разблокировки, пока запрашиваемая страница не обновится. Народ привык ipconfig /flushdns уже делать, кто не первый раз попадается =) Иногда звонят в саппорт. Не так страшно, в общем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...