[Comm] Вопрос по drweb

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] Вопрос по drweb
@ 2004-07-06 11:25 Krasavin Andrey
  2004-07-06 11:32 ` Vitaly Lipatov
  2004-07-06 11:43 ` Klimchev Konstantin
  0 siblings, 2 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 11:25 UTC (permalink / raw)
  To: community

Добрый день!

Работает у меня связка Postfix+DrWeb и все инфицированные письма
кладутся в /var/drweb/infected/. Бывает случай, что мне надо
посмотреть письмо (например, почему-то от security-altlinux идут
зараженными :) ). Чем можно просмотреть инфицированное письмо,
которое попадает в вышеуказанную папку и как правило получающее
имя файл как drweb.quarantine.набор_букв_и_цифр?

---
WBR, Krasavin Andrey

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 11:25 [Comm] Вопрос по drweb Krasavin Andrey
@ 2004-07-06 11:32 ` Vitaly Lipatov
  2004-07-06 11:34   ` Krasavin Andrey
  2004-07-06 11:43 ` Klimchev Konstantin
  1 sibling, 1 reply; 19+ messages in thread
From: Vitaly Lipatov @ 2004-07-06 11:32 UTC (permalink / raw)
  To: community

On Tuesday 06 July 2004 15:25, Krasavin Andrey wrote:
> security-altlinux идут зараженными :) ). Чем можно просмотреть
> инфицированное письмо, которое попадает в вышеуказанную папку
> и как правило получающее имя файл как
> drweb.quarantine.набор_букв_и_цифр?
mutt -f файл

-- 
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! LaTeX! LyX!


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 11:32 ` Vitaly Lipatov
@ 2004-07-06 11:34   ` Krasavin Andrey
  0 siblings, 0 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 11:34 UTC (permalink / raw)
  To: community

On Tue, Jul 06, 2004 at 03:32:09PM +0400, Vitaly Lipatov wrote:
> mutt -f файл

mutt -f /var/drweb/infected/drweb.quarantine.gLkFHm
/var/drweb/infected/drweb.quarantine.gLkFHm не является почтовым
ящиком.

Что можно еще предпринять?

---
WBR, Krasavin Andrey

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 11:25 [Comm] Вопрос по drweb Krasavin Andrey
  2004-07-06 11:32 ` Vitaly Lipatov
@ 2004-07-06 11:43 ` Klimchev Konstantin
  2004-07-06 11:56   ` Mike Lykov
  2004-07-06 12:35   ` Krasavin Andrey
  1 sibling, 2 replies; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 11:43 UTC (permalink / raw)
  To: community

On Tue, 6 Jul 2004 15:25:08 +0400
Krasavin Andrey <krasavin@kominet.ru> wrote:

> Бывает случай, что мне надо
> посмотреть письмо (например, почему-то от security-altlinux идут
> зараженными :) )

Есть такое. Вот с такой информацией:
[1158] drweb.tmp.1OhqE4/[text:plain] probably infected with COM.BOOT.Virus
на подпись чтоль срабатывает?

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 11:43 ` Klimchev Konstantin
@ 2004-07-06 11:56   ` Mike Lykov
  2004-07-06 12:04     ` Klimchev Konstantin
  2004-07-06 12:35   ` Krasavin Andrey
  1 sibling, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-06 11:56 UTC (permalink / raw)
  To: community

В сообщении от Вторник 06 Июль 2004 16:43 Klimchev Konstantin написал:

> Есть такое. Вот с такой информацией:
> [1158] drweb.tmp.1OhqE4/[text:plain] probably infected with COM.BOOT.Virus
> на подпись чтоль срабатывает?

Надо отключить эвристический анализ (изжил себя  ;) и послать пример 
разработчикам

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 11:56   ` Mike Lykov
@ 2004-07-06 12:04     ` Klimchev Konstantin
  2004-07-06 12:22       ` Mike Lykov
  0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 12:04 UTC (permalink / raw)
  To: community

On Tue, 6 Jul 2004 16:56:28 +0500
Mike Lykov <combr@vesna.ru> wrote:

> Надо отключить эвристический анализ (изжил себя  ;) 
хм... не рискну

> и послать пример разработчикам
еще год назад. еще чтоль раз отправить.

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 12:04     ` Klimchev Konstantin
@ 2004-07-06 12:22       ` Mike Lykov
  2004-07-06 12:32         ` Klimchev Konstantin
  0 siblings, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-06 12:22 UTC (permalink / raw)
  To: community

В сообщении от Вторник 06 Июль 2004 17:04 Klimchev Konstantin написал:

> > Надо отключить эвристический анализ (изжил себя  ;)
> хм... не рискну

По моему, он привносит много проблем (ложных ошибок) , но я не помню, чтобы 
был случай его полезности.

> > и послать пример разработчикам
> еще год назад. еще чтоль раз отправить.

желательно..
-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 12:22       ` Mike Lykov
@ 2004-07-06 12:32         ` Klimchev Konstantin
  2004-07-06 12:44           ` Mike Lykov
  0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 12:32 UTC (permalink / raw)
  To: community

On Tue, 6 Jul 2004 17:22:21 +0500
Mike Lykov <combr@vesna.ru> wrote:

> По моему, он привносит много проблем (ложных ошибок) , но я не помню, чтобы 
> был случай его полезности.
при более 3,5 тыс. клиентов пусть уж ложное срабатывание. А ложное срабатывание - только на security-announce на моей памяти.

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 12:32         ` Klimchev Konstantin
@ 2004-07-06 12:44           ` Mike Lykov
  2004-07-06 12:58             ` Klimchev Konstantin
  0 siblings, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-06 12:44 UTC (permalink / raw)
  To: community

В сообщении от Вторник 06 Июль 2004 17:32 Klimchev Konstantin написал:

> > По моему, он привносит много проблем (ложных ошибок) , но я не помню,
> > чтобы был случай его полезности.
> при более 3,5 тыс. клиентов пусть уж ложное срабатывание.

Если почта вообще не пришла (просто молча исчезла)  - неизвестно мне, так ли 
это хорошо..

>    А ложное срабатывание - только на security-announce на моей памяти.

у меня было на .dbf (после чего я его выкинул нафиг).

Можете привести случай, когда этот анализ сработал положительно?

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 12:44           ` Mike Lykov
@ 2004-07-06 12:58             ` Klimchev Konstantin
  2004-07-06 13:30               ` Klimchev Konstantin
  0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 12:58 UTC (permalink / raw)
  To: community

On Tue, 6 Jul 2004 17:44:53 +0500
Mike Lykov <combr@vesna.ru> wrote:

> Можете привести случай, когда этот анализ сработал положительно?
а как проверить - "анализом" или "нет"? по "probably infected" ?

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 12:58             ` Klimchev Konstantin
@ 2004-07-06 13:30               ` Klimchev Konstantin
  2004-07-06 13:50                 ` Krasavin Andrey
  2004-07-07  4:12                 ` Mike Lykov
  0 siblings, 2 replies; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 13:30 UTC (permalink / raw)
  To: community

On Tue, 6 Jul 2004 16:58:37 +0400
Klimchev Konstantin <koka@atvc.ru> wrote:

> "probably infected"
хм.. если по "probably" проверил за период с 10.00 26-06 по сейчас. Зараженных чуть более 4600 из них с "probably" 3 (1 с security-announce)

и самое интересное. Это по клиентскому почтовику. По корпоративному - письмо с security-announce прошло без проблем.

Везде ALTM22, drweb drweb-4.31.4-alt4, разве что postfix пересобран с поддержкой mysql.

В прошлом (когда клиентский почтовик был на sendmail - тоже drweb срабатывал, по крайней мере начиная с 4.28 версии)

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 13:30               ` Klimchev Konstantin
@ 2004-07-06 13:50                 ` Krasavin Andrey
  2004-07-06 14:08                   ` Klimchev Konstantin
  2004-07-07  4:12                 ` Mike Lykov
  1 sibling, 1 reply; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 13:50 UTC (permalink / raw)
  To: community

On Tue, Jul 06, 2004 at 05:30:55PM +0400, Klimchev Konstantin wrote:
> 
> В прошлом (когда клиентский почтовик был на sendmail - тоже drweb срабатывал, по крайней мере начиная с 4.28 версии)
> 

Константин, а не подскажете все-таки как мне прочитать письмо в
infected?

---
WBR, Krasavin Andrey


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 13:50                 ` Krasavin Andrey
@ 2004-07-06 14:08                   ` Klimchev Konstantin
  2004-07-08  7:48                     ` iLya Bryzgalow
  0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 14:08 UTC (permalink / raw)
  To: community

On Tue, 6 Jul 2004 17:50:42 +0400
Krasavin Andrey <krasavin@kominet.ru> wrote:

> Константин, а не подскажете все-таки как мне прочитать письмо в
> infected?

cat /var/drweb/infected/drweb.quarantine.набор_букв_и_цифр

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 14:08                   ` Klimchev Konstantin
@ 2004-07-08  7:48                     ` iLya Bryzgalow
  2004-07-08 14:02                       ` Krasavin Andrey
  0 siblings, 1 reply; 19+ messages in thread
From: iLya Bryzgalow @ 2004-07-08  7:48 UTC (permalink / raw)
  To: community

Tue, 6 Jul 2004 18:08:28 +0400 Klimchev Konstantin <koka@atvc.ru>
сообщил:

> On Tue, 6 Jul 2004 17:50:42 +0400
> Krasavin Andrey <krasavin@kominet.ru> wrote:
> 
> > Константин, а не подскажете все-таки как мне прочитать письмо в
> > infected?
> 
> cat /var/drweb/infected/drweb.quarantine.набор_букв_и_цифр
И вложение можно вытащить? Ага, щаззз.
Для работы с такими файлами я применяю костылик, который применял еще
для работы с файлами очереди sendmail, может есть правильней путь, не
знаю.
Добавить в начало файла строчку, что-нибудь типа:
>From MAILER-DAEMON Thu Jun 17 18:38:36 2004

Цыфры руля не играют, и файл можно открыть mutt -f филе.

> 
> -- 
> Best Regards, Konstantin Klimchev 
> (mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
> ATK-Internet ISP, Arkhangelsk, Russia

-- 
iLya Bryzgalow aka iLL          _/ _/     _/
Astronomy-Linux-Krasnodar-Russia  _/     _/
Linux User #301257            _/ _/     _/
JID://ill@jabber.org         _/ _/     _/
http://www.krumn.oilnet.ru  _/ _/     _/
ftp://ftp.krumn.oilnet.ru  _/ _/_/_/ _/_/_/
i don't smoke and wish you the same!
kernel-2.6.6-std26-up-alt6 ALT Linux Sisyphus (20040702)


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-08  7:48                     ` iLya Bryzgalow
@ 2004-07-08 14:02                       ` Krasavin Andrey
  0 siblings, 0 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-08 14:02 UTC (permalink / raw)
  To: community

On Thu, Jul 08, 2004 at 11:48:07AM +0400, iLya Bryzgalow wrote:

> Добавить в начало файла строчку, что-нибудь типа:
> >From MAILER-DAEMON Thu Jun 17 18:38:36 2004
> 
> Цыфры руля не играют, и файл можно открыть mutt -f филе.

Вот это мне и нужно было. Спасибо всем за помощь.

---
WBR, Krasavin Andrey


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 13:30               ` Klimchev Konstantin
  2004-07-06 13:50                 ` Krasavin Andrey
@ 2004-07-07  4:12                 ` Mike Lykov
  2004-07-07  4:26                   ` Klimchev Konstantin
  1 sibling, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-07  4:12 UTC (permalink / raw)
  To: community

В сообщении от Вторник 06 Июль 2004 18:30 Klimchev Konstantin написал:

> хм.. если по "probably" проверил за период с 10.00 26-06 по сейчас.
> Зараженных чуть более 4600 из них с "probably" 3 (1 с security-announce)

то есть два "неизвестно-чего" (может, вовсе и не вирус, а приличный 
файл/письмо) из 4600, это 0,043%

стоит ли ради этих процентов подвергать письма риску быть ошибочно 
уничтоженными? 

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-07  4:12                 ` Mike Lykov
@ 2004-07-07  4:26                   ` Klimchev Konstantin
  2004-07-07  5:09                     ` Re[2]: " Evgeny Yugov
  0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-07  4:26 UTC (permalink / raw)
  To: community

On Wed, 7 Jul 2004 09:12:06 +0500
Mike Lykov <combr@vesna.ru> wrote:

> то есть два "неизвестно-чего" (может, вовсе и не вирус, а приличный 
> файл/письмо) из 4600, это 0,043%
> 
> стоит ли ради этих процентов подвергать письма риску быть ошибочно 
> уничтоженными? 

да... умеете Вы посеять в душе сомнения :)

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia


^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re[2]: [Comm] Вопрос по drweb
  2004-07-07  4:26                   ` Klimchev Konstantin
@ 2004-07-07  5:09                     ` Evgeny Yugov
  0 siblings, 0 replies; 19+ messages in thread
From: Evgeny Yugov @ 2004-07-07  5:09 UTC (permalink / raw)
  To: Klimchev Konstantin

Здравствуйте Klimchev,

Wednesday, July 7, 2004, 11:26:50 AM, you wrote:

KK> On Wed, 7 Jul 2004 09:12:06 +0500
KK> Mike Lykov <combr@vesna.ru> wrote:

>> то есть два "неизвестно-чего" (может, вовсе и не вирус, а приличный
>> файл/письмо) из 4600, это 0,043%
>> 
>> стоит ли ради этих процентов подвергать письма риску быть ошибочно 
>> уничтоженными? 

KK> да... умеете Вы посеять в душе сомнения :)
На самом деле все зависит от степени параноидальности...
Админ админу рознь :oD



-- 
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
Registered Linux User #316667
mailto:yugov@scs-900.ru

Origin: Улыбайтесь, это всех раздражает.



^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [Comm] Вопрос по drweb
  2004-07-06 11:43 ` Klimchev Konstantin
  2004-07-06 11:56   ` Mike Lykov
@ 2004-07-06 12:35   ` Krasavin Andrey
  1 sibling, 0 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 12:35 UTC (permalink / raw)
  To: community

On Tue, Jul 06, 2004 at 03:43:16PM +0400, Klimchev Konstantin wrote:
> Есть такое. Вот с такой информацией:
> [1158] drweb.tmp.1OhqE4/[text:plain] probably infected with COM.BOOT.Virus
> на подпись чтоль срабатывает?

А как посмотреть-то это письмо в итоге? Очень уж интересует что
там нового по безопасности вышло пока я неделю отсутствовал.

---
WBR, Krasavin Andrey


^ permalink raw reply	[flat|nested] 19+ messages in thread

end of thread, other threads:[~2004-07-08 14:02 UTC | newest]

Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-07-06 11:25 [Comm] Вопрос по drweb Krasavin Andrey
2004-07-06 11:32 ` Vitaly Lipatov
2004-07-06 11:34   ` Krasavin Andrey
2004-07-06 11:43 ` Klimchev Konstantin
2004-07-06 11:56   ` Mike Lykov
2004-07-06 12:04     ` Klimchev Konstantin
2004-07-06 12:22       ` Mike Lykov
2004-07-06 12:32         ` Klimchev Konstantin
2004-07-06 12:44           ` Mike Lykov
2004-07-06 12:58             ` Klimchev Konstantin
2004-07-06 13:30               ` Klimchev Konstantin
2004-07-06 13:50                 ` Krasavin Andrey
2004-07-06 14:08                   ` Klimchev Konstantin
2004-07-08  7:48                     ` iLya Bryzgalow
2004-07-08 14:02                       ` Krasavin Andrey
2004-07-07  4:12                 ` Mike Lykov
2004-07-07  4:26                   ` Klimchev Konstantin
2004-07-07  5:09                     ` Re[2]: " Evgeny Yugov
2004-07-06 12:35   ` Krasavin Andrey

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git