* [Comm] Детект вирусной активности в локальной сети
@ 2005-02-10 7:55 Anton Farygin
2005-02-10 8:13 ` Dmitry Lebkov
` (4 more replies)
0 siblings, 5 replies; 11+ messages in thread
From: Anton Farygin @ 2005-02-10 7:55 UTC (permalink / raw)
To: community
Всем привет.
Есть задача - детект вирусной активности на машинах под Windows.
При чем детектить нужно с отдельного юниксового тазика (ALT Linux).
При чем машины, на которых нужно определить наличие троянов - могут не
подозревать о том, что на них кто-то что-то определяет.
Тазик может быть роутером ;-)
Конечная задача - отключать к черту от сети каждую винду, зараженную
вирусом ;-)
Если кто-то что-то слышал о том, что такое реализуемо и есть для этого
готовые тулзы - просьба сообщить.
Rgds,
Rider
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin @ 2005-02-10 8:13 ` Dmitry Lebkov 2005-02-10 8:24 ` Mike Lykov ` (3 subsequent siblings) 4 siblings, 0 replies; 11+ messages in thread From: Dmitry Lebkov @ 2005-02-10 8:13 UTC (permalink / raw) To: community On Thu, 10 Feb 2005 10:55:17 +0300 Anton Farygin <rider@altlinux.com> wrote: > Всем привет. > > Есть задача - детект вирусной активности на машинах под Windows. > > При чем детектить нужно с отдельного юниксового тазика (ALT Linux). > > При чем машины, на которых нужно определить наличие троянов - могут не > подозревать о том, что на них кто-то что-то определяет. > > Тазик может быть роутером ;-) > > Конечная задача - отключать к черту от сети каждую винду, зараженную > вирусом ;-) > > Если кто-то что-то слышал о том, что такое реализуемо и есть для этого > готовые тулзы - просьба сообщить. По-идее - любая IDS с соответствующими правилами и реакциями на правила. snort из Сизифа наверняка сможет помочь. Останется только определить паттерны "вирусной активности". Ну а скрипт, осуществляющий реакцию, зависит от метода, которым зарашенные машины будут отключаться. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin 2005-02-10 8:13 ` Dmitry Lebkov @ 2005-02-10 8:24 ` Mike Lykov 2005-02-10 8:52 ` Valery V. Inozemtsev ` (2 subsequent siblings) 4 siblings, 0 replies; 11+ messages in thread From: Mike Lykov @ 2005-02-10 8:24 UTC (permalink / raw) To: community В сообщении от Четверг 10 Февраль 2005 11:55 Anton Farygin написал: > Если кто-то что-то слышал о том, что такое реализуемо и есть для этого > готовые тулзы - просьба сообщить. у меня спросили только сегодня об аналогичной задаче. linux стоит у провайдера, засекать надо клиентов. я посоветовал snort да portsentry, вот только с конкретикой туго. если кто-то знает/делал - спрос есть, пусть расскажет ;) -- Mike Lykov Samara, "Vesna" parfum company, System administrator ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin 2005-02-10 8:13 ` Dmitry Lebkov 2005-02-10 8:24 ` Mike Lykov @ 2005-02-10 8:52 ` Valery V. Inozemtsev 2005-02-10 8:57 ` Valery V. Inozemtsev 2005-02-10 9:00 ` Maxim Tyurin 2005-02-11 9:15 ` [Comm] " Michael Shigorin 4 siblings, 1 reply; 11+ messages in thread From: Valery V. Inozemtsev @ 2005-02-10 8:52 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 803 bytes --] В сообщении от 10 Февраль 2005 10:55 Anton Farygin написал(a): > Всем привет. > > Есть задача - детект вирусной активности на машинах под Windows. > > При чем детектить нужно с отдельного юниксового тазика (ALT Linux). > > При чем машины, на которых нужно определить наличие троянов - могут не > подозревать о том, что на них кто-то что-то определяет. > > Тазик может быть роутером ;-) > > Конечная задача - отключать к черту от сети каждую винду, зараженную > вирусом ;-) > > Если кто-то что-то слышал о том, что такое реализуемо и есть для этого > готовые тулзы - просьба сообщить. snort. но есть одно но. все подобные тулзы не будут работать на всю сеть если в сети нет свечей, только хабы -- Valery V. Inozemtsev Powered by ALT Linux Sisyphus (20050208) ftp://ftp.altlinux.ru/pub/people/shrek/ [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 8:52 ` Valery V. Inozemtsev @ 2005-02-10 8:57 ` Valery V. Inozemtsev 2005-02-10 9:03 ` Alexey I. Froloff 0 siblings, 1 reply; 11+ messages in thread From: Valery V. Inozemtsev @ 2005-02-10 8:57 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 404 bytes --] <skip> > > Если кто-то что-то слышал о том, что такое реализуемо и есть для этого > > готовые тулзы - просьба сообщить. > > snort. но есть одно но. все подобные тулзы не будут работать на всю сеть ^^^^^^^^^^^^^^^^^^^ хотел сказать "будут работать" > если в сети нет свечей, только хабы -- Valery V. Inozemtsev Powered by ALT Linux Sisyphus (20050208) ftp://ftp.altlinux.ru/pub/people/shrek/ [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 8:57 ` Valery V. Inozemtsev @ 2005-02-10 9:03 ` Alexey I. Froloff 2005-02-10 9:09 ` Valery V. Inozemtsev 0 siblings, 1 reply; 11+ messages in thread From: Alexey I. Froloff @ 2005-02-10 9:03 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1: Type: text/plain, Size: 530 bytes --] * Valery V. Inozemtsev <shrek@> [050210 11:58]: > > snort. но есть одно но. все подобные тулзы не будут работать на всю сеть > ^^^^^^^^^^^^^^^^^^^ > хотел сказать "будут работать" > > если в сети нет свечей, только хабы В свичёваной сети можно заставить их работать. -- Regards, Sir Raorn. ------------------- > Ещё неплохо бы доложить о проделанной работе в upstream. Только делать это надо аккуратно, чтобы они там не догадались, что это типовая ошибка, описанная в документации. :) -- ldv in devel@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 9:03 ` Alexey I. Froloff @ 2005-02-10 9:09 ` Valery V. Inozemtsev 2005-02-10 9:18 ` Alexey I. Froloff 0 siblings, 1 reply; 11+ messages in thread From: Valery V. Inozemtsev @ 2005-02-10 9:09 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1: Type: text/plain, Size: 560 bytes --] В сообщении от 10 Февраль 2005 12:03 Alexey I. Froloff написал(a): > * Valery V. Inozemtsev <shrek@> [050210 11:58]: > > > snort. но есть одно но. все подобные тулзы не будут работать на всю > > > сеть > > > > ^^^^^^^^^^^^^^^^^^^ > > хотел сказать "будут работать" > > > > > если в сети нет свечей, только хабы > > В свичёваной сети можно заставить их работать. поделись рецептом, у меня не работает (хотя я с этим не очень то и разбирался) -- Valery V. Inozemtsev Powered by ALT Linux Sisyphus (20050208) ftp://ftp.altlinux.ru/pub/people/shrek/ [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 9:09 ` Valery V. Inozemtsev @ 2005-02-10 9:18 ` Alexey I. Froloff 2005-02-10 9:25 ` Valery V. Inozemtsev 0 siblings, 1 reply; 11+ messages in thread From: Alexey I. Froloff @ 2005-02-10 9:18 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1: Type: text/plain, Size: 524 bytes --] * Valery V. Inozemtsev <shrek@> [050210 12:10]: > > > хотел сказать "будут работать" > > > > если в сети нет свечей, только хабы > > В свичёваной сети можно заставить их работать. > поделись рецептом, у меня не работает (хотя я с этим не очень то и разбирался) Er... Свичи должны быть "умные". Можно весь трафик на определённый порт завернуть. -- Regards, Sir Raorn. ------------------- За Сизифом не угонишься: напишешь одно, а на следующий день там уже может оказаться другое. -- ldv in sisyphus@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 9:18 ` Alexey I. Froloff @ 2005-02-10 9:25 ` Valery V. Inozemtsev 0 siblings, 0 replies; 11+ messages in thread From: Valery V. Inozemtsev @ 2005-02-10 9:25 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1: Type: text/plain, Size: 605 bytes --] В сообщении от 10 Февраль 2005 12:18 Alexey I. Froloff написал(a): > * Valery V. Inozemtsev <shrek@> [050210 12:10]: > > > > хотел сказать "будут работать" > > > > > > > > > если в сети нет свечей, только хабы > > > > > > В свичёваной сети можно заставить их работать. > > > > поделись рецептом, у меня не работает (хотя я с этим не очень то и > > разбирался) > > Er... Свичи должны быть "умные". хм... у меня они к сожалению дешевые > Можно весь трафик на > определённый порт завернуть. -- Valery V. Inozemtsev Powered by ALT Linux Sisyphus (20050208) ftp://ftp.altlinux.ru/pub/people/shrek/ [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Детект вирусной активности в локальной сети 2005-02-10 7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin ` (2 preceding siblings ...) 2005-02-10 8:52 ` Valery V. Inozemtsev @ 2005-02-10 9:00 ` Maxim Tyurin 2005-02-11 9:15 ` [Comm] " Michael Shigorin 4 siblings, 0 replies; 11+ messages in thread From: Maxim Tyurin @ 2005-02-10 9:00 UTC (permalink / raw) To: community Anton Farygin <rider@altlinux.com> writes: > Всем привет. > > Есть задача - детект вирусной активности на машинах под Windows. > > При чем детектить нужно с отдельного юниксового тазика (ALT Linux). > > При чем машины, на которых нужно определить наличие троянов - могут не > подозревать о том, что на них кто-то что-то определяет. Могут или должны не подозревать? Т.е. сенсор можно ставить на Win? > > Тазик может быть роутером ;-) > > Конечная задача - отключать к черту от сети каждую винду, зараженную > вирусом ;-) > > Если кто-то что-то слышал о том, что такое реализуемо и есть для этого > готовые тулзы - просьба сообщить. Prelude + Argus помогает в таком случае. Только я не знаю где есть готовые правила для вирусов и троянов. -- With Best Regards, Maxim Tyurin aka Bungarus JID: MrKooll@jabber.pibhe.com ^ permalink raw reply [flat|nested] 11+ messages in thread
* [Comm] Re: Детект вирусной активности в локальной сети 2005-02-10 7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin ` (3 preceding siblings ...) 2005-02-10 9:00 ` Maxim Tyurin @ 2005-02-11 9:15 ` Michael Shigorin 4 siblings, 0 replies; 11+ messages in thread From: Michael Shigorin @ 2005-02-11 9:15 UTC (permalink / raw) To: community On Thu, Feb 10, 2005 at 10:55:17AM +0300, Anton Farygin wrote: > Есть задача - детект вирусной активности на машинах под > Windows. При чем детектить нужно с отдельного юниксового > тазика (ALT Linux). При чем машины, на которых нужно > определить наличие троянов - могут не подозревать о том, что на > них кто-то что-то определяет. Тазик может быть роутером ;-) > Конечная задача - отключать к черту от сети каждую винду, > зараженную вирусом ;-) Если кто-то что-то слышал о том, что > такое реализуемо и есть для этого готовые тулзы - просьба > сообщить. Тулза называется iptables, а превентивная мера -- блокирование (и логгинг попыток) исходящего трафика по :25. Это 80%-я мера, но работает. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2005-02-11 9:15 UTC | newest] Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-02-10 7:55 [Comm] Детект вирусной активности в локальной сети Anton Farygin 2005-02-10 8:13 ` Dmitry Lebkov 2005-02-10 8:24 ` Mike Lykov 2005-02-10 8:52 ` Valery V. Inozemtsev 2005-02-10 8:57 ` Valery V. Inozemtsev 2005-02-10 9:03 ` Alexey I. Froloff 2005-02-10 9:09 ` Valery V. Inozemtsev 2005-02-10 9:18 ` Alexey I. Froloff 2005-02-10 9:25 ` Valery V. Inozemtsev 2005-02-10 9:00 ` Maxim Tyurin 2005-02-11 9:15 ` [Comm] " Michael Shigorin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git