* [Comm] Вопрос по drweb
@ 2004-07-06 11:25 Krasavin Andrey
2004-07-06 11:32 ` Vitaly Lipatov
2004-07-06 11:43 ` Klimchev Konstantin
0 siblings, 2 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 11:25 UTC (permalink / raw)
To: community
Добрый день!
Работает у меня связка Postfix+DrWeb и все инфицированные письма
кладутся в /var/drweb/infected/. Бывает случай, что мне надо
посмотреть письмо (например, почему-то от security-altlinux идут
зараженными :) ). Чем можно просмотреть инфицированное письмо,
которое попадает в вышеуказанную папку и как правило получающее
имя файл как drweb.quarantine.набор_букв_и_цифр?
---
WBR, Krasavin Andrey
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 11:25 [Comm] Вопрос по drweb Krasavin Andrey
@ 2004-07-06 11:32 ` Vitaly Lipatov
2004-07-06 11:34 ` Krasavin Andrey
2004-07-06 11:43 ` Klimchev Konstantin
1 sibling, 1 reply; 19+ messages in thread
From: Vitaly Lipatov @ 2004-07-06 11:32 UTC (permalink / raw)
To: community
On Tuesday 06 July 2004 15:25, Krasavin Andrey wrote:
> security-altlinux идут зараженными :) ). Чем можно просмотреть
> инфицированное письмо, которое попадает в вышеуказанную папку
> и как правило получающее имя файл как
> drweb.quarantine.набор_букв_и_цифр?
mutt -f файл
--
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! LaTeX! LyX!
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 11:32 ` Vitaly Lipatov
@ 2004-07-06 11:34 ` Krasavin Andrey
0 siblings, 0 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 11:34 UTC (permalink / raw)
To: community
On Tue, Jul 06, 2004 at 03:32:09PM +0400, Vitaly Lipatov wrote:
> mutt -f файл
mutt -f /var/drweb/infected/drweb.quarantine.gLkFHm
/var/drweb/infected/drweb.quarantine.gLkFHm не является почтовым
ящиком.
Что можно еще предпринять?
---
WBR, Krasavin Andrey
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 11:25 [Comm] Вопрос по drweb Krasavin Andrey
2004-07-06 11:32 ` Vitaly Lipatov
@ 2004-07-06 11:43 ` Klimchev Konstantin
2004-07-06 11:56 ` Mike Lykov
2004-07-06 12:35 ` Krasavin Andrey
1 sibling, 2 replies; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 11:43 UTC (permalink / raw)
To: community
On Tue, 6 Jul 2004 15:25:08 +0400
Krasavin Andrey <krasavin@kominet.ru> wrote:
> Бывает случай, что мне надо
> посмотреть письмо (например, почему-то от security-altlinux идут
> зараженными :) )
Есть такое. Вот с такой информацией:
[1158] drweb.tmp.1OhqE4/[text:plain] probably infected with COM.BOOT.Virus
на подпись чтоль срабатывает?
--
Best Regards, Konstantin Klimchev
(mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 11:43 ` Klimchev Konstantin
@ 2004-07-06 11:56 ` Mike Lykov
2004-07-06 12:04 ` Klimchev Konstantin
2004-07-06 12:35 ` Krasavin Andrey
1 sibling, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-06 11:56 UTC (permalink / raw)
To: community
В сообщении от Вторник 06 Июль 2004 16:43 Klimchev Konstantin написал:
> Есть такое. Вот с такой информацией:
> [1158] drweb.tmp.1OhqE4/[text:plain] probably infected with COM.BOOT.Virus
> на подпись чтоль срабатывает?
Надо отключить эвристический анализ (изжил себя ;) и послать пример
разработчикам
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 11:56 ` Mike Lykov
@ 2004-07-06 12:04 ` Klimchev Konstantin
2004-07-06 12:22 ` Mike Lykov
0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 12:04 UTC (permalink / raw)
To: community
On Tue, 6 Jul 2004 16:56:28 +0500
Mike Lykov <combr@vesna.ru> wrote:
> Надо отключить эвристический анализ (изжил себя ;)
хм... не рискну
> и послать пример разработчикам
еще год назад. еще чтоль раз отправить.
--
Best Regards, Konstantin Klimchev
(mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 12:04 ` Klimchev Konstantin
@ 2004-07-06 12:22 ` Mike Lykov
2004-07-06 12:32 ` Klimchev Konstantin
0 siblings, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-06 12:22 UTC (permalink / raw)
To: community
В сообщении от Вторник 06 Июль 2004 17:04 Klimchev Konstantin написал:
> > Надо отключить эвристический анализ (изжил себя ;)
> хм... не рискну
По моему, он привносит много проблем (ложных ошибок) , но я не помню, чтобы
был случай его полезности.
> > и послать пример разработчикам
> еще год назад. еще чтоль раз отправить.
желательно..
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 12:22 ` Mike Lykov
@ 2004-07-06 12:32 ` Klimchev Konstantin
2004-07-06 12:44 ` Mike Lykov
0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 12:32 UTC (permalink / raw)
To: community
On Tue, 6 Jul 2004 17:22:21 +0500
Mike Lykov <combr@vesna.ru> wrote:
> По моему, он привносит много проблем (ложных ошибок) , но я не помню, чтобы
> был случай его полезности.
при более 3,5 тыс. клиентов пусть уж ложное срабатывание. А ложное срабатывание - только на security-announce на моей памяти.
--
Best Regards, Konstantin Klimchev
(mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 11:43 ` Klimchev Konstantin
2004-07-06 11:56 ` Mike Lykov
@ 2004-07-06 12:35 ` Krasavin Andrey
1 sibling, 0 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 12:35 UTC (permalink / raw)
To: community
On Tue, Jul 06, 2004 at 03:43:16PM +0400, Klimchev Konstantin wrote:
> Есть такое. Вот с такой информацией:
> [1158] drweb.tmp.1OhqE4/[text:plain] probably infected with COM.BOOT.Virus
> на подпись чтоль срабатывает?
А как посмотреть-то это письмо в итоге? Очень уж интересует что
там нового по безопасности вышло пока я неделю отсутствовал.
---
WBR, Krasavin Andrey
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 12:32 ` Klimchev Konstantin
@ 2004-07-06 12:44 ` Mike Lykov
2004-07-06 12:58 ` Klimchev Konstantin
0 siblings, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-06 12:44 UTC (permalink / raw)
To: community
В сообщении от Вторник 06 Июль 2004 17:32 Klimchev Konstantin написал:
> > По моему, он привносит много проблем (ложных ошибок) , но я не помню,
> > чтобы был случай его полезности.
> при более 3,5 тыс. клиентов пусть уж ложное срабатывание.
Если почта вообще не пришла (просто молча исчезла) - неизвестно мне, так ли
это хорошо..
> А ложное срабатывание - только на security-announce на моей памяти.
у меня было на .dbf (после чего я его выкинул нафиг).
Можете привести случай, когда этот анализ сработал положительно?
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 12:44 ` Mike Lykov
@ 2004-07-06 12:58 ` Klimchev Konstantin
2004-07-06 13:30 ` Klimchev Konstantin
0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 12:58 UTC (permalink / raw)
To: community
On Tue, 6 Jul 2004 17:44:53 +0500
Mike Lykov <combr@vesna.ru> wrote:
> Можете привести случай, когда этот анализ сработал положительно?
а как проверить - "анализом" или "нет"? по "probably infected" ?
--
Best Regards, Konstantin Klimchev
(mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 12:58 ` Klimchev Konstantin
@ 2004-07-06 13:30 ` Klimchev Konstantin
2004-07-06 13:50 ` Krasavin Andrey
2004-07-07 4:12 ` Mike Lykov
0 siblings, 2 replies; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 13:30 UTC (permalink / raw)
To: community
On Tue, 6 Jul 2004 16:58:37 +0400
Klimchev Konstantin <koka@atvc.ru> wrote:
> "probably infected"
хм.. если по "probably" проверил за период с 10.00 26-06 по сейчас. Зараженных чуть более 4600 из них с "probably" 3 (1 с security-announce)
и самое интересное. Это по клиентскому почтовику. По корпоративному - письмо с security-announce прошло без проблем.
Везде ALTM22, drweb drweb-4.31.4-alt4, разве что postfix пересобран с поддержкой mysql.
В прошлом (когда клиентский почтовик был на sendmail - тоже drweb срабатывал, по крайней мере начиная с 4.28 версии)
--
Best Regards, Konstantin Klimchev
(mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 13:30 ` Klimchev Konstantin
@ 2004-07-06 13:50 ` Krasavin Andrey
2004-07-06 14:08 ` Klimchev Konstantin
2004-07-07 4:12 ` Mike Lykov
1 sibling, 1 reply; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-06 13:50 UTC (permalink / raw)
To: community
On Tue, Jul 06, 2004 at 05:30:55PM +0400, Klimchev Konstantin wrote:
>
> В прошлом (когда клиентский почтовик был на sendmail - тоже drweb срабатывал, по крайней мере начиная с 4.28 версии)
>
Константин, а не подскажете все-таки как мне прочитать письмо в
infected?
---
WBR, Krasavin Andrey
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 13:50 ` Krasavin Andrey
@ 2004-07-06 14:08 ` Klimchev Konstantin
2004-07-08 7:48 ` iLya Bryzgalow
0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-06 14:08 UTC (permalink / raw)
To: community
On Tue, 6 Jul 2004 17:50:42 +0400
Krasavin Andrey <krasavin@kominet.ru> wrote:
> Константин, а не подскажете все-таки как мне прочитать письмо в
> infected?
cat /var/drweb/infected/drweb.quarantine.набор_букв_и_цифр
--
Best Regards, Konstantin Klimchev
(mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 13:30 ` Klimchev Konstantin
2004-07-06 13:50 ` Krasavin Andrey
@ 2004-07-07 4:12 ` Mike Lykov
2004-07-07 4:26 ` Klimchev Konstantin
1 sibling, 1 reply; 19+ messages in thread
From: Mike Lykov @ 2004-07-07 4:12 UTC (permalink / raw)
To: community
В сообщении от Вторник 06 Июль 2004 18:30 Klimchev Konstantin написал:
> хм.. если по "probably" проверил за период с 10.00 26-06 по сейчас.
> Зараженных чуть более 4600 из них с "probably" 3 (1 с security-announce)
то есть два "неизвестно-чего" (может, вовсе и не вирус, а приличный
файл/письмо) из 4600, это 0,043%
стоит ли ради этих процентов подвергать письма риску быть ошибочно
уничтоженными?
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-07 4:12 ` Mike Lykov
@ 2004-07-07 4:26 ` Klimchev Konstantin
2004-07-07 5:09 ` Re[2]: " Evgeny Yugov
0 siblings, 1 reply; 19+ messages in thread
From: Klimchev Konstantin @ 2004-07-07 4:26 UTC (permalink / raw)
To: community
On Wed, 7 Jul 2004 09:12:06 +0500
Mike Lykov <combr@vesna.ru> wrote:
> то есть два "неизвестно-чего" (может, вовсе и не вирус, а приличный
> файл/письмо) из 4600, это 0,043%
>
> стоит ли ради этих процентов подвергать письма риску быть ошибочно
> уничтоженными?
да... умеете Вы посеять в душе сомнения :)
--
Best Regards, Konstantin Klimchev
(mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re[2]: [Comm] Вопрос по drweb
2004-07-07 4:26 ` Klimchev Konstantin
@ 2004-07-07 5:09 ` Evgeny Yugov
0 siblings, 0 replies; 19+ messages in thread
From: Evgeny Yugov @ 2004-07-07 5:09 UTC (permalink / raw)
To: Klimchev Konstantin
Здравствуйте Klimchev,
Wednesday, July 7, 2004, 11:26:50 AM, you wrote:
KK> On Wed, 7 Jul 2004 09:12:06 +0500
KK> Mike Lykov <combr@vesna.ru> wrote:
>> то есть два "неизвестно-чего" (может, вовсе и не вирус, а приличный
>> файл/письмо) из 4600, это 0,043%
>>
>> стоит ли ради этих процентов подвергать письма риску быть ошибочно
>> уничтоженными?
KK> да... умеете Вы посеять в душе сомнения :)
На самом деле все зависит от степени параноидальности...
Админ админу рознь :oD
--
With Best regards,
Evgeny Yugov,
MTS, programmer of Advanced Technologies Departament.
Registered Linux User #316667
mailto:yugov@scs-900.ru
Origin: Улыбайтесь, это всех раздражает.
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-06 14:08 ` Klimchev Konstantin
@ 2004-07-08 7:48 ` iLya Bryzgalow
2004-07-08 14:02 ` Krasavin Andrey
0 siblings, 1 reply; 19+ messages in thread
From: iLya Bryzgalow @ 2004-07-08 7:48 UTC (permalink / raw)
To: community
Tue, 6 Jul 2004 18:08:28 +0400 Klimchev Konstantin <koka@atvc.ru>
сообщил:
> On Tue, 6 Jul 2004 17:50:42 +0400
> Krasavin Andrey <krasavin@kominet.ru> wrote:
>
> > Константин, а не подскажете все-таки как мне прочитать письмо в
> > infected?
>
> cat /var/drweb/infected/drweb.quarantine.набор_букв_и_цифр
И вложение можно вытащить? Ага, щаззз.
Для работы с такими файлами я применяю костылик, который применял еще
для работы с файлами очереди sendmail, может есть правильней путь, не
знаю.
Добавить в начало файла строчку, что-нибудь типа:
>From MAILER-DAEMON Thu Jun 17 18:38:36 2004
Цыфры руля не играют, и файл можно открыть mutt -f филе.
>
> --
> Best Regards, Konstantin Klimchev
> (mailto:koka@atvc.ru jabber:koka@jabber.atvc.ru)
> ATK-Internet ISP, Arkhangelsk, Russia
--
iLya Bryzgalow aka iLL _/ _/ _/
Astronomy-Linux-Krasnodar-Russia _/ _/
Linux User #301257 _/ _/ _/
JID://ill@jabber.org _/ _/ _/
http://www.krumn.oilnet.ru _/ _/ _/
ftp://ftp.krumn.oilnet.ru _/ _/_/_/ _/_/_/
i don't smoke and wish you the same!
kernel-2.6.6-std26-up-alt6 ALT Linux Sisyphus (20040702)
^ permalink raw reply [flat|nested] 19+ messages in thread
* Re: [Comm] Вопрос по drweb
2004-07-08 7:48 ` iLya Bryzgalow
@ 2004-07-08 14:02 ` Krasavin Andrey
0 siblings, 0 replies; 19+ messages in thread
From: Krasavin Andrey @ 2004-07-08 14:02 UTC (permalink / raw)
To: community
On Thu, Jul 08, 2004 at 11:48:07AM +0400, iLya Bryzgalow wrote:
> Добавить в начало файла строчку, что-нибудь типа:
> >From MAILER-DAEMON Thu Jun 17 18:38:36 2004
>
> Цыфры руля не играют, и файл можно открыть mutt -f филе.
Вот это мне и нужно было. Спасибо всем за помощь.
---
WBR, Krasavin Andrey
^ permalink raw reply [flat|nested] 19+ messages in thread
end of thread, other threads:[~2004-07-08 14:02 UTC | newest]
Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-07-06 11:25 [Comm] Вопрос по drweb Krasavin Andrey
2004-07-06 11:32 ` Vitaly Lipatov
2004-07-06 11:34 ` Krasavin Andrey
2004-07-06 11:43 ` Klimchev Konstantin
2004-07-06 11:56 ` Mike Lykov
2004-07-06 12:04 ` Klimchev Konstantin
2004-07-06 12:22 ` Mike Lykov
2004-07-06 12:32 ` Klimchev Konstantin
2004-07-06 12:44 ` Mike Lykov
2004-07-06 12:58 ` Klimchev Konstantin
2004-07-06 13:30 ` Klimchev Konstantin
2004-07-06 13:50 ` Krasavin Andrey
2004-07-06 14:08 ` Klimchev Konstantin
2004-07-08 7:48 ` iLya Bryzgalow
2004-07-08 14:02 ` Krasavin Andrey
2004-07-07 4:12 ` Mike Lykov
2004-07-07 4:26 ` Klimchev Konstantin
2004-07-07 5:09 ` Re[2]: " Evgeny Yugov
2004-07-06 12:35 ` Krasavin Andrey
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git