Регистрация...

Eserv Forum / Plugins / Antivirus / Работа DrWeb 5.0

wikipost // (v2)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Вот уже несколько раз сталкиваюсь с такой работой DrWeb 5.0 который установлен как плагин к PigMailPigProxy2. Получаю спам с вложением.... вложение содержит вирус... письмо доходит до пользователя, но при отправке роботу переклассификации с указанием ему, что это письмо является спамом, тогда то и отрабатывает антивирус и высылает письмо адиминистратору с оповещением, что это письмо содержит вирус... как может быть так, что сначала пропускает письмо с вирусом, но потом при отправке на переклассификацию начинает отрабатывать?


22.06 Скриншот работы DrWeb [87716 bytes]
 
Комментарии к версии 1 (22.06.2010 08:28) [~leka] 6f5aeea7
Комментарии к этой версии (22.06.2010 08:33) [~leka] 1741bb03
АвторДатаТекстtags
pig22.06.2010 08:39
Успели добавить в базы, антивирус успел базы обновить. Как-то так, наверное. Надо по логам хронологию уточнить.
wikipost
leka22.06.2010 09:18
Вот кусок лога по приему письма:
16:29:28 88
Connection from: 192.168.0.1:1631 16:29:28 88 Local Network 16:29:28 88 Reply: 220 mail.ms-motor.ru Eserv/3.4713 (PigMail/2.2) ESMTP. Welcome, Local user! Mon, 21 Jun 2010 16:29:29 +0400 16:29:29 88 EHLO server 16:29:29 88 IP of HELO host doesn't match PeerIP 16:29:29 88 Reply: 250-mail.ms-motor.ru Hello [192.168.0.1], pleased to meet you 16:29:30 88 RSET 16:29:30 88 Reply: 250 Reset state 16:29:30 88 MAIL FROM: <kittycentral@ups.com> 16:29:30 88 Sender Policy check skipped because sender is local or known 16:29:33 88 Accepted 16:29:33 88 Reply: 250 kittycentral@ups.com OK 16:29:33 88 RCPT TO: <admin@ms-motor.ru> 16:29:33 88 Local domain user, accepted 16:29:33 88 Reply: 250 admin@ms-motor.ru OK, my domain user 16:29:33 88 DATA 16:29:33 88 Reply: 354 send the mail data, end with . 16:29:54 88 Message has been received completely, 150184 bytes size 16:29:54 88 Reply: 250 OK message accepted for delivery 16:29:55 88 Local recipient: admin@ms-motor.ru, passed to archive folder: ..\DATA\mail\archive 16:29:55 88 Delivered to local recipient: admin@ms-motor.ru 16:29:56 88 Copied to folder: ..\DATA\mail\archive, recipients: admin@ms-motor.ru 16:29:56 88 RSET 16:29:56 88 Reply: 250 Reset state 16:29:56 88 MAIL FROM: <kittycentral@ups.com> 16:29:56 88 Sender Policy check skipped because sender is local or known 16:29:57 88 Accepted 16:29:57 88 Reply: 250 kittycentral@ups.com OK 16:29:57 88 RCPT TO: <admin@ms-motor.ru> 16:29:57 88 Local domain user, accepted 16:29:57 88 Reply: 250 admin@ms-motor.ru OK, my domain user 16:29:57 88 DATA 16:29:57 88 Reply: 354 send the mail data, end with . 16:30:18 88 Message has been received completely, 150184 bytes size 16:30:18 88 Reply: 250 OK message accepted for delivery 16:30:19 88 Local recipient: admin@ms-motor.ru, passed to archive folder: ..\DATA\mail\archive 16:30:19 88 Delivered to local recipient: admin@ms-motor.ru 16:30:19 88 Copied to folder: ..\DATA\mail\archive, recipients: admin@ms-motor.ru 16:30:20 88 STAT: 300541:584:0:0:50921
А вот кусок лога при отправке роботу на перекласификацию:
09:01:13 174
Connection from: 192.168.0.1:2787 09:01:13 174 Local Network 09:01:13 174 Reply: 220 mail.ms-motor.ru Eserv/3.4713 (PigMail/2.2) ESMTP. Welcome, Local user! Tue, 22 Jun 2010 09:01:13 +0400 09:01:13 174 EHLO www.ms-motor.ru 09:01:14 174 IP of HELO host doesn't match PeerIP 09:01:14 174 Reply: 250-mail.ms-motor.ru Hello [192.168.0.1], pleased to meet you 09:01:15 174 AUTH PLAIN 09:01:15 174 Reply: 334 VXNlcm5hbWU6 09:01:15 174 Authorized as: admin@ms-motor.ru 09:01:15 174 Reply: 235 Authentication successful 09:01:15 174 MAIL FROM:<admin@ms-motor.ru> 09:01:16 174 Administrator, accepted 09:01:16 174 Reply: 250 admin@ms-motor.ru OK. Glad to meet you, Master 09:01:16 174 RCPT TO:<mail_cr> 09:01:16 174 mail_cr has been aliased to mail_classify.robot@ms-motor.ru 09:01:16 174 Robot, accepted 09:01:16 174 Reply: 250 mail_cr OK, my domain user. Your message will be reclassified 09:01:16 174 DATA 09:01:16 174 Reply: 354 send the mail data, end with . 09:01:16 174 Message has been received completely, 355751 bytes size 09:01:16 174 AvScanFile INFECTED File=..\DATA\mail\spool\admin@ms-motor.ru!174!51646062!1.eml, Virus=Trojan.MulDrop1.27707,Trojan.MulDrop1.27707 09:01:16 174 Moved to folder: ..\DATA\mail\infected 09:01:18 174 Reply: 554 Sorry, your message seems to be infected with VIRUS!: Trojan.MulDrop1.27707,Trojan.MulDrop1.27707 (detected by DrWEB 5.00) 09:01:18 174 Administrative virus alert created for: Postmaster@ms-motor.ru 09:01:19 174 Postmaster@ms-motor.ru has been aliased to admin@ms-motor.ru 09:01:19 174 Delivered to local recipient: admin@ms-motor.ru 09:01:19 174 RSET 09:01:19 174 Reply: 250 Reset state 09:01:19 174 QUIT 09:01:19 174 Reply: 221 Goodbye. 09:01:19 174 STAT: 355894:623:0:0:6125
wikipost
pig22.06.2010 09:53
И в DATA\log\201006acSMTPav-r.log можно посмотреть, сколько раз за этот период антивирусная база обновлялась.
wikipost
leka22.06.2010 11:05
pig пишет: И в DATA\log\201006acSMTPav-r.log можно посмотреть, сколько раз за этот период антивирусная база обновлялась.

21.06.2010 15:44:08 AvReload: DbInfo: 21.6.2010 (1474464 virus records); Engine: DrWEB 5.00
21.06.2010 16:44:10 AvReload: DbInfo: 21.6.2010 (1474747 virus records); Engine: DrWEB 5.00
21.06.2010 17:44:11 AvReload: DbInfo: 21.6.2010 (1475022 virus records); Engine: DrWEB 5.00
21.06.2010 18:42:09 AvLoad: DbInfo: 21.6.2010 (1475022 virus records); Engine: DrWEB 5.00
21.06.2010 19:49:14 AvReload: DbInfo: 21.6.2010 (1475646 virus records); Engine: DrWEB 5.00
21.06.2010 20:49:25 AvReload: DbInfo: 21.6.2010 (1475910 virus records); Engine: DrWEB 5.00
21.06.2010 21:49:25 AvReload: DbInfo: 21.6.2010 (1476033 virus records); Engine: DrWEB 5.00
21.06.2010 22:49:25 AvReload: DbInfo: 21.6.2010 (1476393 virus records); Engine: DrWEB 5.00
21.06.2010 23:49:25 AvReload: DbInfo: 21.6.2010 (1476733 virus records); Engine: DrWEB 5.00
22.06.2010 00:49:25 AvReload: DbInfo: 22.6.2010 (1476979 virus records); Engine: DrWEB 5.00
22.06.2010 01:49:28 AvReload: DbInfo: 22.6.2010 (1477300 virus records); Engine: DrWEB 5.00
22.06.2010 02:49:28 AvReload: DbInfo: 22.6.2010 (1477590 virus records); Engine: DrWEB 5.00
22.06.2010 03:49:27 AvReload: DbInfo: 22.6.2010 (1477962 virus records); Engine: DrWEB 5.00
22.06.2010 04:49:27 AvReload: DbInfo: 22.6.2010 (1478243 virus records); Engine: DrWEB 5.00
22.06.2010 06:49:28 AvReload: DbInfo: 22.6.2010 (1478511 virus records); Engine: DrWEB 5.00
22.06.2010 07:54:28 AvReload: DbInfo: 22.6.2010 (1478974 virus records); Engine: DrWEB 5.00
22.06.2010 08:54:28 AvReload: DbInfo: 22.6.2010 (1479282 virus records); Engine: DrWEB 5.00
22.06.2010 09:54:30 AvReload: DbInfo: 22.6.2010 (1479571 virus records); Engine: DrWEB 5.00
22.06.2010 10:59:42 AvReload: DbInfo: 22.6.2010 (1479874 virus records); Engine: DrWEB 5.00
22.06.2010 11:59:38 AvReload: DbInfo: 22.6.2010 (1480172 virus records); Engine: DrWEB 5.00
wikipost
leka22.06.2010 14:28
Ну вот сейчас отработал вроде нормально:
14:31:33 284
Connection from: 192.168.0.1:4780 14:31:33 284 Local Network 14:31:33 284 Reply: 220 mail.ms-motor.ru Eserv/3.4713 (PigMail/2.2) ESMTP. Welcome, Local user! Tue, 22 Jun 2010 14:31:33 +0400 14:31:33 284 EHLO server 14:31:34 284 IP of HELO host doesn't match PeerIP 14:31:34 284 Reply: 250-mail.ms-motor.ru Hello [192.168.0.1], pleased to meet you 14:31:35 284 RSET 14:31:35 284 Reply: 250 Reset state 14:31:35 284 MAIL FROM: <tonywickens@ups.com> 14:31:35 284 Sender Policy check skipped because sender is local or known 14:31:36 284 Accepted 14:31:36 284 Reply: 250 tonywickens@ups.com OK 14:31:36 284 RCPT TO: <admin@ms-motor.ru> 14:31:36 284 Local domain user, accepted 14:31:36 284 Reply: 250 admin@ms-motor.ru OK, my domain user 14:31:36 284 DATA 14:31:36 284 Reply: 354 send the mail data, end with . 14:31:57 284 Message has been received completely, 139796 bytes size 14:31:57 284 AvScanFile INFECTED File=..\DATA\mail\spool\tonywickens@ups.com!284!71466078!1.eml, Virus=Trojan.MulDrop1.27707 14:31:57 284 Moved to folder: ..\DATA\mail\infected 14:31:58 284 Reply: 554 Sorry, your message seems to be infected with VIRUS!: Trojan.MulDrop1.27707 (detected by DrWEB 5.00) 14:31:59 284 Administrative virus alert created for: Postmaster@ms-motor.ru 14:31:59 284 Postmaster@ms-motor.ru has been aliased to admin@ms-motor.ru 14:31:59 284 Delivered to local recipient: admin@ms-motor.ru 14:31:59 284 STAT: 139888:489:0:0:25250 Вот теперь бы вычислить и найти того кто это шлет и оторвать бы все что отрывается, чтобы нечем было это делать...
wikipost
pig22.06.2010 15:09
Можно в шапке письма посмотреть. TI свой заголовок туда добавляет?
wikipost
leka22.06.2010 15:16
pig пишет: Можно в шапке письма посмотреть. TI свой заголовок туда добавляет?

Вот шапка письма:
For: admin@ms-motor.ru
X-E3-Mailfrom: tonywickens@ups.com
X-Classification: virus
Received: from [192.168.0.1] (helo=server, mail from: <tonywickens@ups.com>)
by mail.ms-motor.ru (acSMTP/3.0.4713) with ESMTP id 284;
Tue, 22 Jun 2010 14:31:36 +0400
Thread-Topic: -15 X-RBL: cbl.abuseat.org; [75.147.222.157] Delivery Problem NR1776983.
Received: from ups.com (75-147-222-157-Miami.hfc.comcastbusiness.net [75.147.222.157]) by 84.54.244.98 with Traffic Inspector SMTP Gate (2.0.0.633); Tue, 22 Jun 2010 14:31:29 +0400
X-RBL: cbl.abuseat.org; [75.147.222.157]
X-TI-AntiSpam: Good
X-TI-MessID: {8236EB13-22BD-451B-8CD8-A7389758305E}
Message-ID: <000a01cb11f5$f96d27f2$0201a8c0@rm-35684c7c3a79>
From: "United Parcel Service of America, Una Dowdy" <tonywickens@ups.com>
To: <admin@ms-motor.ru>
Subject: -15 X-RBL: cbl.abuseat.org; [75.147.222.157] Delivery Problem NR1776983.
Date: Tue, 22 Jun 2010 06:30:45 -0400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="
=_NextPart_000_0006_01CB11D4.72591210"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4657
wikipost
pig22.06.2010 17:07
Вот первоисточник:
leka пишет: Received: from ups.com (75-147-222-157-Miami.hfc.comcastbusiness.net [75.147.222.157]) by 84.54.244.98 with Traffic Inspector SMTP Gate (2.0.0.633); Tue, 22 Jun 2010 14:31:29 +0400

Зомби, скорее всего, владелец и не догадывается, что спамит. Можно провайдеру пожаловаться. Лично я такое безобразие просто в чёрные списки пихал.
wikipost
leka23.06.2010 08:16
pig пишет: Зомби, скорее всего, владелец и не догадывается, что спамит.

Возможно и не догадывается, но есть но...
pig пишет: Можно провайдеру пожаловаться.

Вот какому провайдеру?
Вот еще письма полученные вчера и сегодня:
For: admin@ms-motor.ru
X-E3-Mailfrom: sligj@ups.com
X-Classification: virus
Received: from [192.168.0.1] (helo=server, mail from: <sligj@ups.com>)
by mail.ms-motor.ru (acSMTP/3.0.4713) with ESMTP id 384;
Tue, 22 Jun 2010 18:29:32 +0400
Thread-Topic: -15 X-RBL: cbl.abuseat.org; [199.117.77.1] Delivery Problem NR1326925.
Received: from ups.com (199-117-77-1.dia.static.qwest.net [199.117.77.1]) by 84.54.244.98 with Traffic Inspector SMTP Gate (2.0.0.633); Tue, 22 Jun 2010 18:29:26 +0400
X-RBL: cbl.abuseat.org; [199.117.77.1]
X-TI-AntiSpam: Good
X-TI-MessID: {F509E4FC-6116-4E1E-8DA6-B31BFDB96BFA}
Message-ID: <000801cb1217$014aa0e4$d401a8c0@IS-0023>
From: "UPS PostBox-Manager, Judy Kostyla" <sligj@ups.com>
To: <admin@ms-motor.ru>
Subject: -15 X-RBL: cbl.abuseat.org; [199.117.77.1] Delivery Problem NR1326925.
Date: Tue, 22 Jun 2010 07:27:12 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="
=_NextPart_000_0004_01CB11DC.54E963D0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4657

For: admin@ms-motor.ru
X-E3-Mailfrom: logkopuran@ups.com
X-Classification: virus
Received: from [192.168.0.1] (helo=server, mail from: <logkopuran@ups.com>)
by mail.ms-motor.ru (acSMTP/3.0.4713) with ESMTP id 546;
Wed, 23 Jun 2010 00:59:52 +0400
Thread-Topic: -15 X-RBL: cbl.abuseat.org; [97.120.159.241] Delivery Problem NR1596825.
Received: from ups.com (97-120-159-241.ptld.qwest.net [97.120.159.241]) by 84.54.244.98 with Traffic Inspector SMTP Gate (2.0.0.633); Wed, 23 Jun 2010 00:59:45 +0400
X-RBL: cbl.abuseat.org; [97.120.159.241]
X-TI-AntiSpam: Good
X-TI-MessID: {76BF755E-EF5A-4A62-B1BC-F85FF06DBF05}
Message-ID: <002501cb124d$8f937fc2$0500a8c0@workstation>
From: "UPS Manager, Magnolia Hyers" <logkopuran@ups.com>
To: <admin@ms-motor.ru>
Subject: -15 X-RBL: cbl.abuseat.org; [97.120.159.241] Delivery Problem NR1596825.
Date: Tue, 22 Jun 2010 13:57:44 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="
=_NextPart_000_0021_01CB1212.E32D76F0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4657

pig пишет: Лично я такое безобразие просто в чёрные списки пихал.

Согласен, но все айпишники не внесешь в черный список....
wikipost
pig23.06.2010 10:58
ред: 23.06.2010 11:05
А почему именно IP? У меня TI нету, поэтому я заблокировал HELO ups.com.

Жаловаться:
    comcastbusiness.net (первое письмо)
    qwest.net (два последующих)
Американе
wikipost
Работает на Eserv/5.05555 (05.06.2016)