Салют всем,Ситуация следующая - почтовый сервер работает под FreeBSD-4.3,
установлены kav-WorkStationSuit и kav-sendmail версии 3.0.136,
kavkeeper интегрирован в sendmail. Пару часов назад с сервера пришел целый десяток сообщений - мол, такой-то пользователь в локальной сети пытался отправить зараженные вирусом I-Worm.Avron.b сообщения, которые
антивирус успешно заблокировал. Насторожило то, зараженный компьютер обнаружился внутри сети. Двинулся на место происшествия, распахнул MS Outlook - так есть, обнаружилась зараза в папке "Входящие", поступила извне. Иначе говоря, письмо с вирусом было пропущено в локальной сети kavkeeper'ом. Базы обновлялись буквально день назад. Кто-нибудь прокомментирует все вышесказанное?..Спасибо.
В течение последних суток мы
зафиксировали два случая, когда антивирус блокировал попытки рабочих
станций внутри локальной сети разослать сообщения, инфицированные
вирусам , по адресам указанным в записях адресных книг
на локальных компьютерах. В обоих случаях причиной заражения были
сообщения электронной почты, отправленные сторонним пользователем
извне. Иначе говоря, несмотря на недавние обновления, наш антивирус
пропустил зараженные сообщения.
>Салют всем,
>
>Ситуация следующая - почтовый сервер работает
> под FreeBSD-4.3,
>установлены kav-WorkStationSuit и kav-sendmail версии
> 3.0.136,
>kavkeeper интегрирован в sendmail. Пару часов назад с сервера
>пришел целый десяток сообщений - мол, такой-то пользователь в локальной сети
>пытался отправить зараженные вирусом I-Worm.Avron.b сообщения, которые
>антивирус успешно заблокировал. Насторожило то, зараженный компьютер обнаружился внутри сети. Двинулся на
>место происшествия, распахнул MS Outlook - так есть, обнаружилась зараза в
>папке "Входящие", поступила извне. Иначе говоря, письмо с вирусом было пропущено
>в локальной сети kavkeeper'ом. Базы обновлялись буквально день назад. Кто-нибудь прокомментирует
>все вышесказанное?..
>
>Спасибо.
>
>В течение последних суток мы
>зафиксировали два случая, когда антивирус блокировал попытки рабочих
>станций внутри локальной сети разослать сообщения, инфицированные
>
>вирусам , по адресам указанным в записях адресных книг
>на локальных компьютерах. В обоих случаях причиной
>заражения были
>сообщения электронной почты, отправленные сторонним пользователем
>извне. Иначе говоря, несмотря на недавние обновления, наш антивирус
>
>пропустил зараженные сообщения.кто сказал что вирус только by mail распространяется?
так что все нормально, http например.
>кто сказал что вирус только by mail распространяется?
>так что все нормально, http например.человек говорит, что вирус в папке входящие с адресом извне
а преценденты с поимкой вирусов извне уже были ранее или как?
>а преценденты с поимкой вирусов извне уже были ранее или как?Естественно!..
>>кто сказал что вирус только by mail распространяется?
>>так что все нормально, http например.
>
>человек говорит, что вирус в папке входящие с адресом извневполне возможно, новый вирус или долго не апдейтились базы, сперва
прошел вирус, потом скачали новые базы в которых есть сигнатура этого
вируса. Что не клеится?
Еще вариант - запрещать пользователям мудиться с внешними "халявными"
pop3/imap серверами.Теперь все складывается?
>вполне возможно, новый вирус или долго не апдейтились базы, сперва
>прошел вирус, потом скачали новые базы в которых есть сигнатура этого
>вируса. Что не клеится?Все пока что клеится. Вполне разумное объяснение, только вот что думать, если, не дай бог, этот инцидент повторится?
>Еще вариант - запрещать пользователям мудиться с внешними "халявными"
>pop3/imap серверами.Исключено. Все сидят на локальных мейлбоксах.
>>вполне возможно, новый вирус или долго не апдейтились базы, сперва
>>прошел вирус, потом скачали новые базы в которых есть сигнатура этого
>>вируса. Что не клеится?
>
>Все пока что клеится. Вполне разумное объяснение, только вот что думать, если,
>не дай бог, этот инцидент повторится?
>
>>Еще вариант - запрещать пользователям мудиться с внешними "халявными"
>>pop3/imap серверами.
>
>Исключено. Все сидят на локальных мейлбоксах.если нет принудительного проксирования, не исключено использование
webmail'ов.
Рискну заметить, настройки у антивируса нормальные ? в смысле фильтрация входящих и действия над зараженными объектами, может ведь быть настроенно сообщать администратору и пропускать внутрь ?
Отлук - это горе луковое, The bat в студию. Хотябы без команды рассылатся не будет. Ну и другая куча плюсов ....
>Рискну заметить, настройки у антивируса нормальные?Да как сказать... антивирус Касперского под нашим UNIX'ом работает с начала осени минувшего года, и нареканий на его работу до самого последнего времени не было. Вот фрагмент файла kavkeeper.ini, раздел [default]:
check=yes
desinfect=yes
removeinfectedpart=yes
infectedaction=NOTIFY
infectednotify=virus@gasdob.com.ua
attachinfected=no
notifyfrom=yes
attachkavanswer=text
>>Рискну заметить, настройки у антивируса нормальные?
>
>Да как сказать... антивирус Касперского под нашим UNIX'ом работает с начала осени
>минувшего года, и нареканий на его работу до самого последнего времени
>не было. Вот фрагмент файла kavkeeper.ini, раздел [default]:
>
>check=yes
>desinfect=yes
>removeinfectedpart=yes
>infectedaction=NOTIFY
>infectednotify=virus@gasdob.com.ua
>attachinfected=no
>notifyfrom=yes
>attachkavanswer=textДа вроде все верно. Хотя по мне так незачем лечить вирусы ... если в сообщении и есть нужная инфа лучше ее потом руками вытащить. Проверь нет ли лишнего в группе NOTCHECK. Да и верно заметили что еще есть халявная почта с доступом через веб. Заодно посмотри логи на предмет прохождения этих писем через твой почтарь и кипер.