С того же
http://www.eicar.com/anti_virus_test_file.htm файлы открываются свободно...
Это сразу заметно — большие файлы (с троянами, и без) начинают загружаться сразу же, т.е. на проверку KAV не отдаются как бы... Я-то ожидал, что будет как в Wingate c таким же плагином — задержка при загрузке, а затем выдача html-странички в IE c названием вируса и диагностикой KAV.
Плагин в настройках Eproxy подключен (галка в обеих строчках Plugins state web-интерфейса, хотя первую пробовал убирать):
- http-proxy\plugins\antivirus
- http-proxy\plugins\antivirus\kav
200603av. txt
2006-03-18 02:11:59;AvScanFile;OK;..\DATA\cache\y\a\www.ya.ru\;None;Yes
Сам KAV работает, т.к. вирусы в почте замечает, пробовал удалить ключ — Eproxy сразу ругается в логе на ошибку инициализации kav...
Или я что делаю не так
?
P.S. Да — всё из комплекта последней версии Eserv 3 с сайта.
2006-03-18 11:48:28;AvScanFile;OK;h:\cache\e\i\www.eicar.com\eicar.css;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\img\eicar_12.png;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\favicon.ico;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\anti_virus_test_file.htm;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\img\eicar_online_logo_small.png;None;Yes
2006-03-18 11:48:39;AvScanMemory;INFECTED;http://www.eicar.com/download/eicar.com;EICAR-Test-File;No
2006-03-18 11:48:39;AvScanFile;OK;h:\cache\e\i\www.eicar.com\download\eicar.com;None;Yes
То, что Eproxy начинает скачивать сразу, а не отложенно выдает, как WinGate — это наше know how
2006-03-18 11:56:23;AvScanMemory;INFECTED;http://www.eicar.com/download/eicar_com.zip;EICAR-Test-File;No
2006-03-18 11:48:39;AvScanFile;OK;h:\cache\e\i\www.eicar.com\download\eicar.com;None;Yes
Тут на файл в кэше антивирус не сработал, т.к. в кэш он записан уже в дезактивированном виде — без вируса, удаленного на лету, а пользователю (браузеру) вместо исходного файла с тестовым вирусом выдается просто название вируса. В данном случае скачался файл размером 15 байт с текстом EICAR-Test-File (название вируса).
Но в консерватории
Надеюсь — не упрекнут в распространении троянов
В общем — вот ископаемый троян 1999 года, при попытке переслать его почтой через Eserv — KAV тут же реагирует, старенький Wingate c KavPlugin (те же kavssd и т.п.) — тут же выдает в IE вместо скачивания файла html след. содержания:
Kaspersky AV for WinGate
The resource at
You are protected by Kaspersky Antivirus for WinGate
А вот Eproxy KAV — спокойно дает скачивать файл c троянчиком as is, хотя, подчеркну — база его знает, и по почте Eserv его не перешлешь...Добрый день!
Сообщение, отправленное Вам с адреса zzzzz@xxxxxx.ru, не было доставлено, так как в нем содержится вирус:
Backdoor.Win32.Joiner по данным антивируса KAVSS 4.0.2.32
(обновление 17.3.2006 (171954 virus records)).
При необходимости Вы можете получить исходное
(ЗАРАЖЕННОЕ ВИРУСОМ) сообщение из файла:
.\DATA\mail\infected\xxxxxx.ru\zzzzzzz\yyyyyk@xxxxxx.ru!4!43047281!2.eml
Исходное сообщение будет храниться на сервере в течение месяца.
Best regards,
Eserv mail server at xxxxxx.ru
Плиз — не жалуйтесь на страничку выше — на ней удобно тестировать антивирусы
Вообще-то, IMHO, главное назначение антивируса на прокси — не закачку файлов как таковых блокировать, а троянские скрипты на страницах. С этим он справляется на ура, мне даже пришлось ему руки укорачивать, чтобы не находил эксплойты в цитатах из логов HijackThis, которых полно на форуме Virusinfo.info. Плюс, по статистике с того же форума, трояны на стартовых площадках лежат "открытым текстом", не в архивах.
Речь тут о внутреннем кэше или о Eserv\Data\Cache (отключать его при возне с KAV я тоже пробовал)? Тоже интересная вещь — какие файлы с какими расширениями кэширует, сколько времени хранит, регулирование объема кэша, и по какому алгоритму обновляет — тайна
Ну... Разные подходы — мне "классический" (WinGate, также, кажется, прокси типа Winroute и т.п., что пробовал — проверяют так же) кажется гораздо более логичным и правильным
Имеется в виду кэш Eserv. Если отключить — да, в нём зверь ловиться не будет.
В
Это верно — оборона должна быть многоуровневой. Кстати, у прокси ещё чёрные списки есть... Надо в них троянские ресурсы запихать, как время найду.
Eproxy\conf\http-proxy\plugins\cache\index.f ?
Посмотрел, ничего не понял, еще раз посмотрел...
Насчёт четырёх часов сейчас затруднительно, соображаю уже с трудом, вот вариант с одними сутками (рабочий, сделал для себя два года назад):
Функционал: если запрошенного объекта в кэше нет, то он запрашивается с целевого сервера если объект есть, лежит меньше суток, и это картинка (*.gif, *.jpg или *.png), то он отдаётся из кэша если объект другого типа или лежит больше суток, то он запрашивается с целевого сервера при условии, что изменился, иначе отдаётся из кэша.