Антивирусное ПО

О проблемах hardware и стандартного и не очень software. Сисадмин, Вам сюда!

Сообщение Шлеин Александр » Вторник 30.09.2008 21:12

Мехти Ибрагимов
Дома для себя, на предприятии для зарабатывания денег.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Возвращаясь к антивирусам. Корпоративная версия.

Сообщение Мехти Ибрагимов » Вторник 07.04.2009 18:43

Примерно с сентября использую на ПАТП Symantec Endpoint Protection (SEP 11). Очень доволен.
Под сервер защиты отвёл отдельно стоящий комп из оставшихся от навигации. HP Compaq P 531. Винт оставил прежним 80 Gb. Памяти добавил до 2 Gb. Работает под XP Professional. Корме SEP на нём ничего нет. Что он делает? Сидит в сети (логично). Забирает регулярные обновления антивирусной и иных защит с Инетовского сервера Symantec. Собирает статистику по защите обслуживаемых клиентов в сети. Обновляет им анитвирусные базы. Плюс базы превентивной защиты от угроз и защиты от угроз в сети.
Повторяюсь. Постоянно сканирует защиту сетевых клиентов. О проблемах сообщает. Все клиенты видны.
У меня лицензия на 50 компов, столько же их есть физически. Позволяет разворачивать защиту удалённо и до 10 компов одновременно. Т.е. развернул (удалённо) защиту на клиенте и забыл - дальше всё автоматом.
Даже с точки зрения траффика - сейчас антивирусная база Nortona порядка 40 Mb. Если каждый комп в сети ежедневно обращается к серверу Symantec за обновлением 50 компьютеров умножить на 40 Мб ежедневно = бешеный трафик. С SEP - только сервер берёт обновления в Инете, остальные клиенты (49 шт.) грузят все обновления с сервера по локалке.
Клиент SEP работает не только на XP, Vista, но и на серверах. Т.е. АП сервер тоже прикрыт.
Из серии установил и спи спокойно. О качестве защиты Symantec и преимуществе иных производителей - это к форумам ни о чём.
Всё дубово, надёжно, комфортно.
Не очень дёшево - это проблемы ПАТП, ну и как-то я всё таки считаю, что сравнивать свой кошелёк с кошельком ПАТП - несколько непропорционально.
Установка и запуск на первый взгляд кажется непонятной, но выполняешь пошаговые инструкции, даже не очень понимая, что делаешь - и, вдруг, всё работает.
А дальше вообще ничего делать не надо. Жди только когда закончиться лицензионный год и подгоняй новые деньги. Но, ИМХО, это значительно приятнее чем думать о том на каком из компов закончился антивирус или кому ты забыл подгрузить новую базу или что ещё, та самая текучка, которая сжирает сами знаете сколько.
Аватара пользователя
Мехти Ибрагимов
 
Сообщения: 549
Зарегистрирован: Пятница 22.06.2007 10:23
Откуда: Домодедовское ПАТП АСУ

Сообщение Шлеин Александр » Пятница 24.04.2009 17:42

Вирусы, антивирусы....

Недавно познакомился с такой дрянью как Kido (он же Conficker),создаёт бот нет из заражённых машин, обновляется и модифицируется через свою пиринговую сеть.

Признаки: повышенная сетевая активность на 445 и 139 портах, повышенная нагрузка на контроллеры домена (заметно сразу по индикации HDD), падение windows сети каждые 15ть минут.

Профилактика.
Иметь установленные обновления безопасности из бюллетеней безопасности microsoft MS08-067, MS08-068, MS09-001, иметь KAV6.0 полноценный.

Лечение.
Отключить сеть от серверной площадки и маршрутизатора. Записать на CD-R утилиту удаления http://data2.kaspersky.com:8080/special/KK_v3.4.6.zip + обновления из бюллетеней microsoft. Запустить содержимое на windows сервере (отключенном от сети!) в последовательности утилита->обновления, далее обеспечить возможность интернет доступа к windows update (автоматически установить все доступные обновления безопасности), установить антивирус KAV 6,0, обновить (желательно чтоб в сети был сервер администрирования KAV в дальнейшем он будет очень полезен). Проделать эту операцию в первую очередь на контроллерах домена и серверах работающих с правами администратора домена.
НА этом действия на серверной площадке заканчиваются.

С всеми клиентскими машинами проделывается всё точно так же (можно использовать vlan, для разделения больная-живая сеть). В первую очередь проверяются критичные к простою ПК (где круглосуточно используется АП). Далее вам пригодится утилита сканер сети, для выявления инфицированных хостов (сейчас название не вспомню, если кому-то нужно, могу попозже поделится), сканируете полностью диапазон всех ip адресов вашей сети, выявляйте инфицированные машины. Их отсутствие в списке с флагом инфектед и отсутствие постоянных запросов к контроллерам домена говорит о излечении.

1. Не пользуйтесь флешками, отключите автозагрузку с носителей.
2. Если в сети имеется сервер администрирования KAV, то запустите с него централизованно утилиту и установите последнюю версию KAV и агента администрирования.
3. Блокируйте на сетевом оборудовании нежелательные хосты с повышенной активностью.
4.Не начинайте искать кто принёс вирус в 90% случаев после его быстрой "стерилизации" пользователь как ни в чём ни бывало заикнётся, а как бы мне компьютер домашний полечить, а-то подглючивает.
5. Ни в коем случае не говорите пользователю о вирусной активности, ведите разговор уклончиво, тогда не будет цыганской почты и кипишей.
6. Не слушайте идеи советчиков, займите одну позицию в стратегии, не пытайтесь физически выключить всю сеть в надежде что после удаление вируса станет проще.
7. Смените пароль локального администратора, он не должен быть пустой или простой, впрочем как и все пароли пользователей домена.
8.К утилите удаления можете добавить средство удаления вредосносного ПО от microsoft, апрельская версия.
9.Если хочется более детально знать картину по сетевой активности, применяйте сниффер на зеркальный порт. Не наставляйте на сервера и станции всяческие альтернативные Frewall и кучу дополнительного ПО.
Более официально можете почитать в интернете по ключевым словам из названия заразы.

Типовое эффективное решение описано тут http://support.kaspersky.ru/faq/?qid=208636215

Ну в общем примерно так. Всем удачи в нашем порой не лёгком и не всегда заметном и понятном труде, но всёже мы делаем мир лучше! :)
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Шлеин Александр » Понедельник 27.04.2009 07:34

Вспомнил название сканера.
Код: Выделить всё
McAfee Conficker Detection Tool


Брать можно тут
http://www.mcafee.com/us/enterprise/confickertest.html
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Мехти Ибрагимов » Четверг 30.04.2009 20:46

От Панды такая утилитка USB Vaccine.
http://www.comss.ru/download/panda+usb+vaccine.html.
Загрузили, запустили.
Спрашивает где отрубить автозагрузку с переносных носителей. На данном компьютере или на данной флешке. Лучше и там и там.
Многие наверное сталкивались с вирусом autorun, когда не можешь открыть флеш, а после этого и локальные диски. Причём большинство антивирусов это отлавливает, но поздно, сначала вирус сделает своё дело, а потом его уже обнаружат и обезвредят. А диски не открываются.
Эта прога отрубает автозагрузку либо от всех переносных носителей либо от конкретной флешки. Там просто - поставить птицу и всё.

На любом чистом компе вставляешь свою флешку и запускаешь прогу. Ставишь птицу против своей флешки. После этого твоя флешка защищена от авторана. Желательно на эту флеш загрузить cureit.exe от drWeb.
Теперь на флеше имеем необходимый антивирусный инструментарий.
В любой комп вставляем свою флеш. Она автоматически не загружается, уже хорошо. Потом просто её открываем и запускаем cureit - и прощай вирусы на незнакомом компе, по крайней мере до первого визита в Инет.

Может немного сумбурно. Но, когда всё это прошёл кажется всё так просто.
Аватара пользователя
Мехти Ибрагимов
 
Сообщения: 549
Зарегистрирован: Пятница 22.06.2007 10:23
Откуда: Домодедовское ПАТП АСУ

Сообщение Шлеин Александр » Пятница 01.05.2009 08:58

Мехти Ибрагимов

Глупость. Болванку в руки и вперёд. Можно растиражировать без проблем. А тут флешек напасись для много-поточности, ещё и утиль какой качать, запускать и галки ставить.... Кудряво живёте товарищ! :)

Замечу, что CD-R уже физически защищён от изменений, а вы про "презерватив" от панды.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Борис Кондрашин » Понедельник 04.05.2009 12:12

Шлеин Александр писал(а): Глупость. Болванку в руки и вперёд. Можно растиражировать без проблем. А тут флешек напасись для много-поточности, ещё и утиль какой качать, запускать и галки ставить.... Кудряво живёте товарищ! :)
Замечу, что CD-R уже физически защищён от изменений, а вы про "презерватив" от панды.

Защищенность CD-R не спасет от вируса, который уже на него записан. Ну и вообще диски очень скоро ждет судьба дискет - при наличии флешек и интернета они станут просто не нужны.
Не-не-не, утилита очень правильная, без нее автозагрузку на компе приходилось отключать через правку реестра, а на флешках ручками создавать каталог AUTORUN.INF (спасибо Microsoft за такую заботу о безопасности).
Только ссылка указана странная, вот нормальная: http://www.pandasecurity.com/russia/hom ... sbvaccine/.
Аватара пользователя
Борис Кондрашин
pit
pit
 
Сообщения: 49
Зарегистрирован: Суббота 09.06.2007 17:19
Откуда: Полак АйТи

Сообщение Шлеин Александр » Понедельник 04.05.2009 17:24

Борис Кондрашин
Так зачем его на неё писать? Да и врят-ли быстро флэш заменит DVD болванки (CD оно конечно да, хотя у меня до сих пор есть ирайвер в магниевом корпусе, сводящий с ума любой металлодетектор, несмотря на наличие в повседневном хозяйстве клона айпода от самсунг на 8гБ, но за человеческие деньги). у флэшки файловая система FAT32, файл больше 4гб не влезет.
По автозагрузке.... Да чем удобней, тем и отключать. Другое дело флэш с "защёлкой", но в продаже редко попадается, если только специально искать, но по мне, бега за экзотикой такой того не стоит.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Борис Кондрашин » Понедельник 04.05.2009 17:58

Шлеин Александр писал(а): Так зачем его на неё писать?

На флешку? Низачем. :) Применил на своих компах и хватит.

Шлеин Александр писал(а): у флэшки файловая система FAT32, файл больше 4гб не влезет.

Это ошибка в XP. Под Vista спокойно форматируется в NTFS. Отформатировать под XP тоже можно, сделав пару па с бубном: http://netler.ru/pc/flash-ntfs.htm .

Шлеин Александр писал(а): Другое дело флэш с "защёлкой", но в продаже редко попадается, если только специально искать, но по мне, бега за экзотикой такой того не стоит.

Совершенно не стоит, поскольку не спасает, если на флешку все-таки нужно что-то записать.
Последний раз редактировалось Борис Кондрашин Понедельник 04.05.2009 19:10, всего редактировалось 1 раз.
Аватара пользователя
Борис Кондрашин
pit
pit
 
Сообщения: 49
Зарегистрирован: Суббота 09.06.2007 17:19
Откуда: Полак АйТи

Сообщение Шлеин Александр » Понедельник 04.05.2009 18:33

Борис
В общем мы с вами столкнулись слегка. Скажу одно, у каждого методы свои.
Про писать, вы не так поняли, я про вирус.
Метод мой был прост. Запись боекомплекта на CD-R с не инфицированной машины (правда поправка, это была виртуальная машина с Ubuntu, так что было пофиг на w32 червей и прочие недуги windows систем и примочки с бубнами), но я думаю у каждого найдётся девственная машина с которой можно зарезать болвань.
Форматить флеш в NTFS, конечно можно, но теряем ресурс флеши раз, два, у меня одна красивая пассия живёт под мандривой, монтировать за неё свои флешки и ставить на её систему доп пакеты.... перетопчится, не так уж сильно её женственность меня трогает, лучше пива живого попить на воздухе или диван "поломать", чем её комп накручивать. :D

Вобщем, у каждого оказались методы свои. А спорить дальше.... Я думаю это уже шушенское :)

ps. В моём случае, авторан был немного на руку, раздал дежурным балбесам по комплекту круглых, блестящих и с дыркой, утилита сама запускалась с нужными ключами.

ps_ps У вас линк кривой, точку лишнюю в BB коде дописали.
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Борис Кондрашин » Понедельник 04.05.2009 19:35

Шлеин Александр писал(а):У вас линк кривой, точку лишнюю в BB коде дописали.

Поправил, сенькс.

Если использовать флешки только для распространения дистрибутивов - то конечно DVD-R имеет весомые преимущества. И если вы уверены, что бухгалтера не приносят на флешках фотки детишек показать подругам - конечно можно автозагрузку на их компах не отключать. Но я в этом почему-то не уверен :)
Что касается NTFS под мандривой, то тут каждый выбирает сам - либо работает все и сразу, либо далеко не все и только после танцев с бубном :)
Аватара пользователя
Борис Кондрашин
pit
pit
 
Сообщения: 49
Зарегистрирован: Суббота 09.06.2007 17:19
Откуда: Полак АйТи

Сообщение Шлеин Александр » Понедельник 04.05.2009 21:23

Борис Кондрашин
В утилите это и произошло, ключ -a. Часть компьютеров через агент администрирования KAV, вторая через CD.

А мандрива только потому как там комп П3 900мГц (+веер от zalman), 1Гб Озу, 320Gb IDE HDD, radeon 9600, в кузове инвин, 19" sony жк, радио клавиатура - мышь. Кроме простенького редактора картинок (фото), аудио-видео DVD плеера, браузера, клиента icq и openOffice не требовалось. Компьютер так себе спокойно живёт уже три года и есть не просит. Ломался только блок питания. Хозяйку машины вполне устраивает, ничего больше не изыскивает в нём :pardon:

Под ХР получается работает CONVERT "буква_диска": /FS:NTFS

http://support.microsoft.com/kb/214579

Кстати почему распространение дистрибутивов? Разве с флэш той же самой нельзя установить или запустить ОС?
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Борис Кондрашин » Вторник 05.05.2009 12:24

Шлеин Александр писал(а):А мандрива только потому как там комп П3 900мГц ...

Ну значит и не нужна ей флешка под NTFS. Все равно фильмы больше 4Гб скорее всего будут тормозить. :)

Шлеин Александр писал(а):Под ХР получается работает CONVERT "буква_диска": /FS:NTFS
http://support.microsoft.com/kb/214579

По той ссылке, что я давал, про это тоже написано.

Шлеин Александр писал(а):Кстати почему распространение дистрибутивов? Разве с флэш той же самой нельзя установить или запустить ОС?

Можно, но это не имеет отношения к вирусам, распространяемым посредством запуска через autorun.inf.
Аватара пользователя
Борис Кондрашин
pit
pit
 
Сообщения: 49
Зарегистрирован: Суббота 09.06.2007 17:19
Откуда: Полак АйТи

Сообщение Шлеин Александр » Среда 06.05.2009 17:34

Борис
Ну в общем понятно. Мы с вами говорим о одних и тех же вещах, но но на разном "русском".

У меня предложение, можт по пиву? :beer: Могу фирменного рязанского выслать, если что в ЛС милости просим. :wink:
Изображение
ιlιllιlιॐιlιllιlι.
一万
Аватара пользователя
Шлеин Александр
 
Сообщения: 438
Зарегистрирован: Вторник 29.01.2008 15:18
Откуда: hkey_local_machine

Сообщение Мехти Ибрагимов » Понедельник 18.05.2009 19:11

По поводу форматирования флешки под NTFS - делается без проблем, но отключение флешки от компьютера без "безопасного отключения устройств" строго не рекомендуется. Никого резкого "выдернул и пошёл".
Аватара пользователя
Мехти Ибрагимов
 
Сообщения: 549
Зарегистрирован: Пятница 22.06.2007 10:23
Откуда: Домодедовское ПАТП АСУ

Пред.След.

Вернуться в Будни сисадмина

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron