Регистрация...

Eserv Forum / Plugins / Antivirus / Уведомление о вирусе отправителю и получателю

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Eserv 2.97
Отправить администратору уведомление о вирусе получается путем прописания в testvir.bat:

copy C:\Eserv2\CHECK\viral@1.ru!1 "C:\Eserv2\mail\spool\" viral@1.ru!1 — это заранее приготовленное письмо

Как бы с помощью батников соорудить уведомления о вирусе отправителю и получателю письма с вирусом?
 
Комментарии к этой версии (13.01.2003 20:33) [~pan] 1012bfc1
АвторДатаТекстtags
pig13.01.2003 21:22
Например, так:
agents\Erobot.exe -c agents\av.cfg -p1 "Mail virus" -p2 my.mail.domain -i "%1"

Mail virus — это вместо имени вируса, которое, увы, неизвестно; my.mail.domain — ваш почтовый домен;
%1 — имя файла письма (только что просканированного антивирусом).

Кроме av.cfg, понадобятся ещё sent_virus.pat и recv_virus.pat, их все можно взять на FTP: ftp://ftp.eserv.ru/pub/beta/2.98/av_informator.zip

Но я не советую: сейчас абсолютное большинство заразы идёт с поддельными обратными адресами, поэтому извещение о посылке вируса получит совершенно непричастный человек. Напугается, потом озлится. Да и получателям спама хватает. Так что лично я этого делать не стал, ограничился извещением в адрес себя любимого.
imported
pan13.01.2003 23:11
заработала, спасибо
imported
nadey14.01.2003 07:06
Но ведь отправителя можно узнать по имени файла.
Я сканирую каталог infected и если там что-то есть открываю заразный файл и по его имени определяю кто автор — ему письмо.
imported
pig14.01.2003 11:15
Это если почта приходит по SMTP. И то не обязательно. А если выгребается из POP3-ящика, то для имени файла берётся поддельный адрес из поля From:. Надёжнее всего вручную анализировать заголовок, определять по IP-адресу принадлежность компьютера и писать администраторам сети.
imported
nadey14.01.2003 15:55
Мне важно предупредить локальных пользователей, а они заразны только если настроили OE, а настраивают обычно с правильным адресом отправителя
imported
pan15.01.2003 15:47
Я поторопился сказать, что все ок.
Отправляться то уведомления отправляются, но:
  1. вот что приходит к получателю вируса (фрагмент из тела письма).
Сообщение, отправленное Вам с адреса to_check\si_pto@test.ru

  1. В каталоге ...\mail\in оказывается письмо с заголовком
From: antivirus@test.ru
To: to_check\si_pto@test.ru
Естественно оно там и останется и до отправителя вируса не дойдет.

Я понял, что при посылке письма от si_pto@test.ru параметр %1=to_check\si_pto@test.ru

А мне нужно, чтобы был si_pto@test.ru
Как бы это сделать?

++++++++ testvir.bat ++++

"C:\Program Files\Kaspersky Lab\AntiViral Toolkit Pro\Avp32.exe" "c:\eserv2\%1" /S /N /Q

if ERRORLEVEL 10 goto m10 if ERRORLEVEL 7 goto m7 if ERRORLEVEL 5 goto m5 if ERRORLEVEL 4 goto m4 if ERRORLEVEL 3 goto m3 if ERRORLEVEL 2 goto m2 if ERRORLEVEL 1 goto m1 if ERRORLEVEL 0 goto m0 goto m10

:m0 rem echo no virus in mess %1 set action=ok goto done
:m1 rem echo scanning no finished set action=cancel goto done
:m2 rem echo found damaged virus in mess %1 set action=virus goto done
:m3 rem echo found like virus in mess %1 set action=virus goto done
:m4 rem echo found virus in mess %1 set action=virus goto done
:m5 rem echo all viruses have been removed from mess %1 set action=ok goto done
:m7 rem echo file AVP32.EXE damaged set action=cancel goto done
:m10 rem echo internal error while running AVP32.EXE set action=cancel goto done

set action=cancel

:Done goto %action%

:virus rem
AVP че-то там нарыл agents\Erobot.exe -c agents\av.cfg -p1 "Mail virus" -p2 test.ru -i "%1" move %1 CHECK\VIR\ copy C:\Eserv2\CHECK\viral@1.ru!1 "C:\Eserv2\mail\spool\"

:cancel rem
сбой AVP copy C:\Eserv2\CHECK\viral@1.ru!1 "C:\Eserv2\mail\spool\" goto finish

:ok echo All Right in %1 move %1 mail\spool\
:finish
imported
pig15.01.2003 16:26
Наверное, начать тогда надо с tossspool.bat. Перед строкой for in сделайте текущим каталог to_check. Соответствующим образом скорректируйте все пути. Тогда параметр получится без подставки.

Хотя странно — я смотрю, что у меня получает Erobot в качестве имени файла, и вижу mail\spool\sender@domain.com!55556565... Может, всё решится, если использовать последнюю версию Erobot? Брать на FTP в pub\beta\2.99\ — тот, который отдельным EXE-файлом.
imported
pan20.01.2003 07:27
pig пишет: Наверное, начать тогда надо с tossspool.bat. Перед строкой for in сделайте текущим каталог to_check. Соответствующим образом скорректируйте все пути. Тогда параметр получится без подставки.

Хотя странно — я смотрю, что у меня получает Erobot в качестве имени файла, и вижу mail\spool\sender@domain.com!55556565... Может, всё решится, если использовать последнюю версию Erobot? Брать на FTP в pub\beta\2.99\ — тот, который отдельным EXE-файлом.


да, действительно, получается параметр
%1=mail\spool\to_check\si_pto@test.ru!393092747!1 а в заголовке письма
To: to_check\si_pto@test.ru
Ставил в tossspool.bat перед for in cd c: cd / cd Eserv2\mail\spool\TO_CHECK
Просто такая подстановка ничего не дает.
Но не понимаю какие пути надо скорректировать, так как этот параметр уже формируется в tossspool.bat
imported
pig20.01.2003 11:46
Понятно. Erobot отрезает mail\spool\, а остальное считает частью адреса...

Понял! Надо править av.cfg. В процедуре Get'From'AddressFromFileName замените 11 на 20:
IF COUNT 20 - 0 MAX SWAP 20 + SWAP

Тогда и to_check\ отрежется.
imported
pan20.01.2003 12:32
pig пишет: Понятно. Erobot отрезает mail\spool\, а остальное считает частью адреса...

Понял! Надо править av.cfg. В процедуре Get'From'AddressFromFileName замените 11 на 20:
IF COUNT 20 - 0 MAX SWAP 20 + SWAP

Тогда и to_check\ отрежется.


СПАСИБО .......... БОЛЬШОЕ )
imported
pan26.01.2003 02:23
Так, хорошо. Через батники tossspool.bat и testvir.bat все работает. Но такие тормоза начались, что авторизация пользователей при получении почты проходит по полчаса. А на сервере естественно в панели задач все время мелькает AVP, что делает какую-либо другую работу невозможной из-за постоянного переключения активного окна.
Будет ли решением этих проблем приобретение плагина KAV?
imported
pig27.01.2003 12:42
Должно быть. По крайней мере, я заметил существенное ускорение при переходе с постоянного запуска консольного Dr.Web на Dr.Web plugin.
imported
Работает на Eserv/5.05567 (10.02.2020)