From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 10 Feb 2005 18:13:09 +1000 From: Dmitry Lebkov To: community@altlinux.ru Subject: Re: [Comm] =?KOI8-R?Q?=E4=C5=D4=C5=CB=D4_=D7=C9=D2=D5=D3=CE=CF=CA?= =?KOI8-R?Q?_=C1=CB=D4=C9=D7=CE=CF=D3=D4=C9_=D7_=CC=CF=CB=C1=CC=D8=CE=CF?= =?KOI8-R?Q?=CA_=D3=C5=D4=C9?= Message-ID: <20050210181309.47c617a6@stat.sakhalin.ru> In-Reply-To: <420B1365.9000407@altlinux.com> References: <420B1365.9000407@altlinux.com> Organization: Sakhalin branch of Dalsvyaz JSC X-Mailer: Sylpheed-Claws 1.0.0 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 10 Feb 2005 08:13:15 -0000 Archived-At: List-Archive: List-Post: On Thu, 10 Feb 2005 10:55:17 +0300 Anton Farygin wrote: > Всем привет. > > Есть задача - детект вирусной активности на машинах под Windows. > > При чем детектить нужно с отдельного юниксового тазика (ALT Linux). > > При чем машины, на которых нужно определить наличие троянов - могут не > подозревать о том, что на них кто-то что-то определяет. > > Тазик может быть роутером ;-) > > Конечная задача - отключать к черту от сети каждую винду, зараженную > вирусом ;-) > > Если кто-то что-то слышал о том, что такое реализуемо и есть для этого > готовые тулзы - просьба сообщить. По-идее - любая IDS с соответствующими правилами и реакциями на правила. snort из Сизифа наверняка сможет помочь. Останется только определить паттерны "вирусной активности". Ну а скрипт, осуществляющий реакцию, зависит от метода, которым зарашенные машины будут отключаться. -- WBR, Dmitry Lebkov