Регистрация...

Eserv Forum / Plugins / Antivirus / Огромная дыра в 3386!

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
С билдами до 3368 ЕСЕРВ у меня постоянно падал из-за блокировки файлов (тоссером?).
Поставил 3386 и возрадовался...
Все работает, блокировок НЕТ!
Да не тут-то было
8O ПРОХОДЯТ ВИРУСЫ! 8O
(используется проверка BAT-файлом КАВ)
Выглядит это так:
ЕСЕРВ получил подряд 4 письма с вирусами.
3 из них обработались КАВ по всем правилам...
Но одно (3-е по счету) как-то проскочило к получателю
Смотрим лог тоссера: разбирается файл с вирусом, но по логу антивируса этот файл, вроде как, вообще не проверялся!
Хотя в первой строке testvir.bat прописано:
echo %DATE% %TIME% File: %1>> log\testvir.log
Фантастика какая-то...

ВЫВОД: письмо при получении попало не в SPOOL\TO_CHECK, а сразу в SPOOL.
(А кто кроме как ЕСЕРВ мог поместить его в SPOOL... )
 
Комментарии к этой версии (03.09.2002 13:50) [~DeBuck] d38d7286
АвторДатаТекстtags
ostrov03.09.2002 14:42
Eserv3386
Стоит специально купленный KAV (плагин AVP для ESERVA), недавно обновленный с новыми ключами ESERV+AVP. Антивирусные базы обновляются ежедневно.
Уже 2-ой день отлавливаются в папке \temp файлы *.eml, зараженные Клещем. Причем отлавливает эти файлы ночью AVP-Scaner, а AVP+ESERV пропускает данные письма. Хотя тестовое вирусное сообщение отрабтывает нормально и бросает в \infected.
Раньше такго не было, ловил все...(
imported
ac03.09.2002 15:45
ostrov пишет: Уже 2-ой день отлавливаются в папке \temp файлы *.eml, зараженные Клещем. Причем отлавливает эти файлы ночью AVP-Scaner, а AVP+ESERV пропускает данные письма.


Так ведь в temp\*.eml файлы попадают ДО проверки антивирусом! Из temp\*.eml они идут в spool, а оттуда в infected или в in в зависимости от проверки. Так что это нормально, если в *.eml находятся вирусы, эти файлы ведь просто протоколы внешних POP3-сессий.
imported
ac03.09.2002 15:51
DeBuck пишет: ВЫВОД: письмо при получении попало не в SPOOL\TO_CHECK, а сразу в SPOOL.
(А кто кроме как ЕСЕРВ мог поместить его в SPOOL... )

Это могло быть, если Eserv не смог создать файл в to_check, но смог в spool... Вы мне smtp.log не вышлете?
imported
ostrov03.09.2002 15:53
to ac

Но в таком случае письма должны попадать в \infected, а их там нет (или я не прав?).
А посмотреть протоколы обработки антивирусом негде (они вроде как больше не пишутся?)
imported
pig03.09.2002 16:01
ostrov пишет: Уже 2-ой день отлавливаются в папке \temp файлы *.eml, зараженные Клещем. Причем отлавливает эти файлы ночью AVP-Scaner, а AVP+ESERV пропускает данные письма.

Файлы .EML из temp вообще никуда не деваются, если вы их принудительно не удаляете.

ostrov пишет: Хотя тестовое вирусное сообщение отрабтывает нормально и бросает в \infected.

Хотите сказать, что письма с Клезом туда не попадают? Приведите лог тоссера и соответствующий заражённому .EML .TOSS-файл.
imported
DeBuck03.09.2002 16:46
ac пишет:
Это могло быть, если Eserv не смог создать файл в to_check, но смог в spool... Вы мне smtp.log не вышлете?


Так оно (судя по toss-файлу) и было! только вирус был забран pop3recv'ом... toss и eml файлы на момент прихода вируса нашел. выслал.
Только толку-то от них?

Уже успел прихватить 34 письма с вирусами (с момента установки 3386)
imported
pig03.09.2002 17:38
Странно. Вы поменяли Eserv.exe, а изменилось поведение Erobot.exe 8O
imported
ac03.09.2002 20:01
Да, если почта не поступила по SMTP, а принималась по POP3 (как следует и из присланного вами log), то файлы в to_check создавал Erobot, а не Eserv. А Erobot не менялся уже год, и никак не связан с перестановками Eserv.exe!

Т.е. тут дело скорее в проверочных bat-файлах. Может, например, очередная проверка не запустилась из-за невозможности записать в testvir.log, куда у вас идут результаты, из-за того что предыдущая проверка не успела "отпустить" этот файл. Уже много здесь писалось о проблемах с проверками на bat-файлах. Собственно потому и перешли на использование родных API антивирусов.
imported
ac03.09.2002 20:04
Давайте все же антивирусные дела обсуждать в антивирусном форуме (ниже в списке), а не в этом.
imported
ostrov04.09.2002 08:16
2 ac
2 pig

Продолжение смотри на антивирусном форуме
http://forum.etype.net/viewtopic.php?t=917
imported
DeBuck04.09.2002 09:52
ac пишет: Т.е. тут дело скорее в проверочных bat-файлах. Может, например, очередная проверка не запустилась из-за невозможности записать в testvir.log, куда у вас идут результаты, из-за того что предыдущая проверка не успела "отпустить" этот файл. Уже много здесь писалось о проблемах с проверками на bat-файлах.


Не есть правда!
Привожу содержимое .toss файлов (3-х подряд):

mail\spool\to_check\urato@tatneft.ru!POP3!345330531!1 {OK}
For: user1@mydomain.ru

mail\spool\runar@pisem.net!POP3!345330531!1 {С ВИРУСОМ: а где to_check?}
For: user2@mydomain.ru

mail\spool\to_check\dbs@demos.su!POP3!345330562!1 {OK}
For: user3@mydomain.ru

Да-а-а-а-а-а.....

Так причем здесь тогда БАТ-проверка?
Почему проблем (такого характера) нет с 2,97?
Откуда появляются блокировки на билдах >=2,98?


Вот о чем речь.

Еробот у меня вполне мог остаться старый (от 2,97)!
Кого кроме ЕСЕРВ.exe следует заменять (из агентов) ?

ac пишет: Собственно потому и перешли на использование родных API антивирусов.

Не считаю это решение рабочим (по крайней мере с КЛАВ)...
+Зачем платить еще 200УЕ за антивирус, корорый вирусы лечить не умеет?

Собственно, дело ТОЧНО не в антивирусе!
Поэтому я пишу именно ЗДЕСЬ а не в соответствующей ветке форума.
imported
pig04.09.2002 10:13
BAT-проверка при том, что промежуточный каталог to_check присутствует именно в ней.
Блокировки в версии 2.98+ к BAT-файлам не имеют отношения, это уже внутри тоссера.

Значит, так. Поскольку приведены выдержки из разных TOSS-файлов, могу в порядке бреда предположить, что у вас есть несколько почтовых заданий и две версии Erobot.exe, старая и новая, лежащие в разных каталогах. И как минимум одно задание вызывает для разбора почты старый Erobot.exe. А вообще очень интересно поднять все TOSS-файлы на исследуемый момент — не создавался ли в это время в to_check файл с таким же именем. И за более раннее время — не случалось ли ранее проскакивание писем мимо антивируса.
Второе бредовое предположение — происки KAV Monitor, который не позволил создать файл в to_check, но позволил создать непосредственно в spool.

Агенты имеет смысл обновить все, но вам, похоже, надо специальный вариант pop3toss.cfg, который писал бы в лог более развёрнутую информацию о создании выходных файлов.
imported
DeBuck04.09.2002 10:43
pig пишет: могу в порядке бреда предположить, что у вас есть несколько почтовых заданий и две версии Erobot.exe


Проверил. Все одинаково. ЕРОБОТ один.

pig пишет: создавался ли в это время в to_check файл с таким же именем. И за более раннее время — не случалось ли ранее проскакивание писем мимо антивируса.


Нет не создавался.
Проскакивание было только одно (после установки 3386).

pig пишет: Второе бредовое предположение — происки KAV Monitor, который не позволил создать файл в to_check, но позволил создать непосредственно в spool.


НЕТ ТАКИХ (Monitor).

pig пишет: Агенты имеет смысл обновить все, но вам, похоже, надо специальный вариант pop3toss.cfg, который писал бы в лог более развёрнутую информацию о создании выходных файлов.


Это точно
Но почему тогда это случилось именно на 3386?
imported
DeBuck04.09.2002 10:51
А ЕРОБОТ-то был из релиза 2,98 (от 5 сентября 2001 г., 13:11:00)...
Erobot v1.8 for Eserv/2.x © 1997-99 A.Cherezov по README

ВОПРОС К АВТОРУ: как запретить ему писать напрямую в SPOOL?
imported
ac04.09.2002 15:05
DeBuck пишет: А ЕРОБОТ-то был из релиза 2,98 (от 5 сентября 2001 г., 13:11:00)...
Erobot v1.8 for Eserv/2.x © 1997-99 A.Cherezov по README
В общем, с 3386 подозрения сняты?

DeBuck пишет: ВОПРОС К АВТОРУ: как запретить ему писать напрямую в SPOOL?
Позволить ему писать в to_check. Он не пишет в to_check, когда при попытке создания файла в to_check получает от Windows код ошибки — тогда он пишет в spool, чтобы письмо не терялось. Почему блокируется запись в to_check — пока загадка. Может вызываемый из BAT антивирус перехватывает API записи в этот каталог на время его проверки... Видимо для обхода этой проблемы придется делать несколько попыток создания файла — ждать пока разрешат. Вы согласны тестировать версии Erobot, которые я вам пришлю?

DeBuck пишет: +Зачем платить еще 200УЕ за антивирус, корорый вирусы лечить не умеет?
Юридически, потому что KL считает нарушением лицензии использование других версий для проверки почты на сервере. Технически потому что это лучше чем BAT, как вы сами убеждаетесь на примере этих проблем.

DeBuck пишет: Собственно, дело ТОЧНО не в антивирусе!
Поэтому я пишу именно ЗДЕСЬ а не в соответствующей ветке форума.
Если бы дело было в антивирусе, то нужно было бы писать не на форумах Етайпа, а на форумах Касперского А антивирусные решения в Eserv и все возникающие при этом проблемы нужно обсуждать в антивирусном разделе нашего форума.
imported
ac04.09.2002 15:19
ostrov пишет:
2 ac
2 pig

Продолжение смотри на антивирусном форуме
http://forum.etype.net/viewtopic.php?t=917

Да уж, действительно, придется писать версию Erobot "для работы во враждебно настроенном окружении", т.е. в условиях игнорирования пользователями рекомендаций по использованию наших программ. Ладно, я сам виноват, нужно было изначально расчитывать на условия атомной войны, как делали разработчики TCP/IP. Впредь постараюсь.
imported
DeBuck04.09.2002 17:37
ac пишет: В общем, с 3386 подозрения сняты?

На предыдущих билдах прорывов писем с вирусами просто не было.
Только что тестировал 3389 на максимальной нагрузке (какчал по ПОП3 кучу писем с и без вирусов с рабочего ЕСЕРВА, без удаления с оного с интервалом 1)...
Тормоза, однако, ужасные! Но прорывов вирусов не было.
Хотя LOOP(проверку дубликатов) прорвало очень быстро , будем считать, что это не столь уж критично.

ac пишет: когда при попытке создания файла в to_check получает от Windows код ошибки — тогда он пишет в spool

Такой алгоритм череват плачевными последствмями...
Можно ли ввести ключ, запрещающий прямую запись в SPOOL?

ac пишет: Вы согласны тестировать версии Erobot, которые я вам пришлю?

Да. Конечно.

+К вопросу о блокировках.
КАВ Сканер при запуске, как я понимаю, первым делом проверяет память...
Может ли он таким образом блокировать файлы, отображаемые в память, либо что-нибудь еще, что мешает работать есерву?
imported
ac04.09.2002 18:18
DeBuck пишет: Такой алгоритм череват плачевными последствмями...
Можно ли ввести ключ, запрещающий прямую запись в SPOOL?
А куда ему тогда записывать письмо? В любом другом месте (кроме spool & to_check) письмо не будет замечено Eserv'ом, значит не попадет ни в какой ящик, и рискует потеряться.

DeBuck пишет: КАВ Сканер при запуске, как я понимаю, первым делом проверяет память...
Может ли он таким образом блокировать файлы, отображаемые в память, либо что-нибудь еще, что мешает работать есерву?
Eserv в память файлы не отображает. Алгоритм работы KAV-сканера мне неизвестен.
imported
DeBuck05.09.2002 14:37
ac пишет:
DeBuck пишет: Такой алгоритм череват плачевными последствмями...
Можно ли ввести ключ, запрещающий прямую запись в SPOOL?
А куда ему тогда записывать письмо? В любом другом месте (кроме spool & to_check) письмо не будет замечено Eserv'ом, значит не попадет ни в какой ящик, и рискует потеряться.


А это, как раз, можно было бы задавать коммандной строкой (с опциональным ключом)!
Примерно так:
Erobot.exe -c agents\pop3toss.cfg -o temp\%TempFile%.toss -i temp\%PrevTempFile%.eml -s {каталог}
И пусть люди сами решают что им важней: уверенность в том, что ВСЯ почта будет проверена АВП (отфильтрована и т.п.), или гарантированная НЕМЕДЛЕННАЯ доставка сообщений.
А переложить письмо ручками (заданием) в спул — задача не супер сложная...
imported
Работает на Eserv/5.05567 (10.02.2020)