URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 3809
[ Назад ]

Исходное сообщение
"OpenNews: Распределенная система блокировки червей и вирусов"

Отправлено opennews , 07-Июн-04 11:30 
В практику некоторых европейских ISP начинает входить (http://www.webwereld.nl/nieuws/18686.phtml) использование DNSBL системы VIRBL (http://virbl.bit.nl/) для блокировки адресов с которых обнаружена рассылка вирусов и червей.

IP адрес автоматически помещается в черный список  при получении хотя бы двух вирусов в течении суток, через 24 часа отсутствия вирусной активности адрес убирается из базы, исключения составляют некоторые популярные почтовые серверы помещенные в белый список.


Полную virdb базу можно получить в формате  bind (http://virbl.bit.nl/virbl.dnsbl.bit.nl), rbldnsd (http://virbl.bit.nl/rbldnsd-virbl.dnsbl.bit.nl) или текстовом (http://virbl.bit.nl/virbl.dnsbl.bit.nl.txtplain).

URL: http://slashdot.org/article.pl?sid=04/06/06/1338225
Новость: http://www.opennet.me/opennews/art.shtml?num=3960


Содержание

Сообщения в этом обсуждении
"Распределенная система блокировки червей и вирусов"
Отправлено Аноним , 07-Июн-04 11:30 
и как прикрутить это к sendmail ?

"Распределенная система блокировки червей и вирусов"
Отправлено Achist , 07-Июн-04 11:38 
А зачем тебе это прикуручивать к sendmail пропиши в хостс или в айпитаблес!

"Распределенная система блокировки червей и вирусов"
Отправлено Mike , 07-Июн-04 11:40 
например можно так:

FEATURE(`dnsbl', `virbl.dnsbl.bit.nl', `550 Ne nado slat virus')dnl

добавить в sendmail.mc

Вообще говоря и идея конечно хорошая, и трафик можно сэкономить.
Но вот много ли среди "популярных почтовых серверов" у них, тех
которые популярны тут у нас.


"Распределенная система блокировки червей и вирусов"
Отправлено KisaSoft , 02-Мрт-06 09:43 
неверно

вот так:


FEATURE(`dnsbl', `rbldnsd1.dnsbl.bit.nl', `550 Ne nado slat virus')dnl


"Распределенная система блокировки червей и вирусов"
Отправлено TaranTuL , 07-Июн-04 13:54 
Лажа полная, к тому же реализация подобной системы в России противоречит закону о связи.

"Распределенная система блокировки червей и вирусов"
Отправлено Антон , 07-Июн-04 15:34 
И чем же она противоречит? Ну ка, ну ка.

"Распределенная система блокировки червей и вирусов"
Отправлено cobold , 07-Июн-04 13:59 
а как тогда для postfix?
maps_rbl_domains = virbl.bit.nl
или по другому?

"Распределенная система блокировки червей и вирусов"
Отправлено Dmitry Pupkov , 07-Июн-04 14:10 
Moget podnjat' u nas takuju ge sistemu?

"Распределенная система блокировки червей и вирусов"
Отправлено Mike , 07-Июн-04 14:52 
Хорошо бы
Но нужен тогда белый список почтовых серверов
Может уже где-нибудь он существует?

"Распределенная система блокировки червей и вирусов"
Отправлено Аноним , 07-Июн-04 17:28 
Глупости, зараженная машина будет прекрасно рассылать вирусы через smtp провайдера, и что после  
этого всех и вся блокировать ?  

"Распределенная система блокировки червей и вирусов"
Отправлено Mike , 07-Июн-04 18:04 
Провайдеры довольно часто вирусы фильтруют

"Распределенная система блокировки червей и вирусов"
Отправлено Евгений , 08-Июн-04 17:30 
Их просто мизер - таких провов.

"Распределенная система блокировки червей и вирусов"
Отправлено Дмитрий Ю. Карпов , 09-Июн-04 15:40 
Подавляющее большинство вирусов посылают себя напрямую; так же поступают и программы, рассылающие спам. Это значит, что закрытие SMTP-порта:25 правилом
allow tcp from any to список_внешних_релеев smtp
allow tcp from внутренние_релеи to any smtp
deny tcp from внутренняя_сеть to any smtp
пресечёт рассылку большинства вирусов и значительно сократит поток спама из сети провайдера.

Список внешних релеев - это hotmail.com, mail.ru и другие по запросам юзеров (по просьбе хотя бы одного юзера открыть ему SMTP-доступ к его любимому релею этот релей открывается для всех). Аналогичным образом создаётся список внутренних релеев. В просьбе об открытии SMTP-доступа должно содержаться обязательство не рассылать спам и вирусы.

Спамер - это человек; он может посмотреть сайт провайдера или позвонить ему по телефону и узнать, каким релеем ему пользоваться. Вирус может узнать адрес релея только из настроек OutLook, TheBat или др.почтовой программы, если он знает, как программа хранит настройки. Но яполагаю, что в большинство вирусов подобная функциональность не включена.

А пока некоторые {censored} провайдеры кладут {censored} на пресечение {censored} спама и {censored} вирусов, идущих из их сетей, владельцы почтовых серверов вынуждены использовать чёрные списки. И никакой зокон о свЯзи не вправе вынудить меня принимать почту от тех {censored}, кто мне неприятен.

PS: Ищу опытного вирусописателя. Найду - убью в сугубо извращённой форме! :-)


"Распределенная система блокировки червей и вирусов"
Отправлено Аноним , 07-Июн-04 23:18 
очень маленькая база. dsbl.org или njabl.org гораздо  больше. кроме того, нормальные мантейнеры отдают данные через rsync, но не через bind или wget.

"Распределенная система блокировки червей и вирусов"
Отправлено Евгений , 08-Июн-04 17:29 
Фигня полная. Надо фильтровать все исполняемые эттачи на подлете (на этапе соединения), а вирусы в архивах ловить антивирусом прикрученным к почтарю.

"Распределенная система блокировки червей и вирусов"
Отправлено Дмитрий Ю. Карпов , 10-Июн-04 14:50 
Одно другому не мешает. Во-первых, система отлупа по IP-номеру экономит трафик, т.к. срабатывает до принятия на сервер вируса, спама или какой др.гадости.

Во-вторых, система отлупа по IP-номеру даёт отлуп даже неизвестным вирусам и спаму, которые могут прйти сквозь фильтр.

А вот для противодействия DoS-атакам систему хранения надо делать распределённой (тиражируемой) и кэшируемой.


"Распределенная система блокировки червей и вирусов"
Отправлено Stranger03 , 11-Июн-04 16:43 
Не совсем понятно, почему их сервер так тормозит. это при моем канале 2М страничка открывается минут за 5-ть. Если так же будет проходить проверка IP на почтовике, то это просто ужас.

Так только у меня?