Регистрация...

Eserv Forum / Plugins / Antivirus / Eproxy+KAV

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Я так понимаю, что Eproxy с KAV в части проверки http-трафика не работает? С почтой — все в порядке, но вот попробовал включить в Eproxy — и KAV на трояны никак не реагирует.

С того же http://www.eicar.com/anti_virus_test_file.htm файлы открываются свободно...

Это сразу заметно — большие файлы (с троянами, и без) начинают загружаться сразу же, т.е. на проверку KAV не отдаются как бы... Я-то ожидал, что будет как в Wingate c таким же плагином — задержка при загрузке, а затем выдача html-странички в IE c названием вируса и диагностикой KAV.

Плагин в настройках Eproxy подключен (галка в обеих строчках Plugins state web-интерфейса, хотя первую пробовал убирать):

  • http-proxy\plugins\antivirus
    • http-proxy\plugins\antivirus\kav
И одна жалкая запись в логе проверки KAV, хотя скачано было немало...

200603av. txt

2006-03-18 02:11:59;AvScanFile;OK;..\DATA\cache\y\a\www.ya.ru\;None;Yes
Сам KAV работает, т.к. вирусы в почте замечает, пробовал удалить ключ — Eproxy сразу ругается в логе на ошибку инициализации kav...

Или я что делаю не так ?

P.S. Да — всё из комплекта последней версии Eserv 3 с сайта.
 
Комментарии к этой версии (18.03.2006 02:57) [~kkm1] c5ec5f0b
АвторДатаТекстtags
ac18.03.2006 12:53
Работает, работает.

2006-03-18 11:48:28;AvScanFile;OK;h:\cache\e\i\www.eicar.com\eicar.css;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\img\eicar_12.png;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\favicon.ico;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\anti_virus_test_file.htm;None;Yes
2006-03-18 11:48:29;AvScanFile;OK;h:\cache\e\i\www.eicar.com\img\eicar_online_logo_small.png;None;Yes
2006-03-18 11:48:39;AvScanMemory;INFECTED;http://www.eicar.com/download/eicar.com;EICAR-Test-File;No
2006-03-18 11:48:39;AvScanFile;OK;h:\cache\e\i\www.eicar.com\download\eicar.com;None;Yes

То, что Eproxy начинает скачивать сразу, а не отложенно выдает, как WinGate — это наше know how В отличие от WinGate, Eproxy (благодаря KAV) умеет проверять файлы на лету. Он просто не выдает браузеру тот кусок файла, в котором вирус.
imported
ac18.03.2006 12:55
Продолжение:
2006-03-18 11:56:23;AvScanMemory;INFECTED;http://www.eicar.com/download/eicar_com.zip;EICAR-Test-File;No
imported
ac18.03.2006 13:00
По поводу строки
2006-03-18 11:48:39;AvScanFile;OK;h:\cache\e\i\www.eicar.com\download\eicar.com;None;Yes
Тут на файл в кэше антивирус не сработал, т.к. в кэш он записан уже в дезактивированном виде — без вируса, удаленного на лету, а пользователю (браузеру) вместо исходного файла с тестовым вирусом выдается просто название вируса. В данном случае скачался файл размером 15 байт с текстом EICAR-Test-File (название вируса).
imported
kkm118.03.2006 14:37
Да, на Eicar отрабатывает — видно по "обрезанию" кода и оставлению только текста от EICAR в IЕ.
Но в консерватории все равно что-то не то.
Надеюсь — не упрекнут в распространении троянов ?
В общем — вот ископаемый троян 1999 года, при попытке переслать его почтой через Eserv — KAV тут же реагирует, старенький Wingate c KavPlugin (те же kavssd и т.п.) — тут же выдает в IE вместо скачивания файла html след. содержания:


Kaspersky AV for WinGate

The resource at http://kisin.boom.ru/Trojans/Join155.zip has been blocked because it is infected with Backdoor.Win32.Joiner

You are protected by Kaspersky Antivirus for WinGate

А вот Eproxy KAV — спокойно дает скачивать файл c троянчиком as is, хотя, подчеркну — база его знает, и по почте Eserv его не перешлешь...

Добрый день!

Сообщение, отправленное Вам с адреса zzzzz@xxxxxx.ru, не было доставлено, так как в нем содержится вирус:
Backdoor.Win32.Joiner по данным антивируса KAVSS 4.0.2.32
(обновление 17.3.2006 (171954 virus records)).

При необходимости Вы можете получить исходное
(ЗАРАЖЕННОЕ ВИРУСОМ) сообщение из файла:

.\DATA\mail\infected\xxxxxx.ru\zzzzzzz\yyyyyk@xxxxxx.ru!4!43047281!2.eml

Исходное сообщение будет храниться на сервере в течение месяца.

Best regards,
Eserv mail server at xxxxxx.ru
http://www.etype.net/eserv/

Плиз — не жалуйтесь на страничку выше — на ней удобно тестировать антивирусы
imported
pig18.03.2006 15:44
Проверка на лету делается прямо в буфере. Поскольку закачка идёт порциями, антивирус может не въехать. Тем более — распаковать часть архива. Файл по окончании закачки должен быть блокирован в кэше — прокси в этом случае не отдаст клиенту последний фрагмент.

Вообще-то, IMHO, главное назначение антивируса на прокси — не закачку файлов как таковых блокировать, а троянские скрипты на страницах. С этим он справляется на ура, мне даже пришлось ему руки укорачивать, чтобы не находил эксплойты в цитатах из логов HijackThis, которых полно на форуме Virusinfo.info. Плюс, по статистике с того же форума, трояны на стартовых площадках лежат "открытым текстом", не в архивах.
imported
kkm118.03.2006 16:41
pig пишет: Проверка на лету делается прямо в буфере. Поскольку закачка идёт порциями, антивирус может не въехать. Тем более — распаковать часть архива. Файл по окончании закачки должен быть блокирован в кэше — прокси в этом случае не отдаст клиенту последний фрагмент.


Речь тут о внутреннем кэше или о Eserv\Data\Cache (отключать его при возне с KAV я тоже пробовал)? Тоже интересная вещь — какие файлы с какими расширениями кэширует, сколько времени хранит, регулирование объема кэша, и по какому алгоритму обновляет — тайна Просто у того же Wingate все это настраивабельно Я совсем WG не хвалю — просто Eserv куплен, очень нравится как почтовый клиент, появилась мысль заодно уйти с Wingate. Но вот если юзеры вместо сообщения в IE как у WG о зараженном архиве будут получать ошибки распаковки (и тупо пытаться 100 раз перекачать "урезанный"архив с вирусом а потом пинать админа) или вообще получать на машину файл с троянчиком, как выше (локальный юзерский антивирусный монитор, конечно, отловит, но доп . гарантия никому не мешала... Сейчас задержка на проверку файлов и открытие страниц не чувствуется совсем — сервер с Wingate весьма мощный, и тормозов при предварительной проверке KAV страничек — никаких, при отдаче файлов — терпимые (все уже привыкли к задержке перед началом получения файла).

Вообще-то, IMHO, главное назначение антивируса на прокси — не закачку файлов как таковых блокировать, а троянские скрипты на страницах. С этим он справляется на ура, мне даже пришлось ему руки укорачивать, чтобы не находил эксплойты в цитатах из логов HijackThis, которых полно на форуме Virosunfo.info. Плюс, по статистике с того же форума, трояны на стартовых площадках лежат "открытым текстом", не в архивах.


Ну... Разные подходы — мне "классический" (WinGate, также, кажется, прокси типа Winroute и т.п., что пробовал — проверяют так же) кажется гораздо более логичным и правильным , но мнение не навязываю
imported
pig18.03.2006 17:01
kkm1 пишет: Речь тут о внутреннем кэше или о Eserv\Data\Cache (отключать его при возне с KAV я тоже пробовал)?

Имеется в виду кэш Eserv. Если отключить — да, в нём зверь ловиться не будет.

kkm1 пишет: Тоже интересная вещь — какие файлы с какими расширениями кэширует, сколько времени хранит, регулирование объема кэша, и по какому алгоритму обновляет — тайна Просто у того же Wingate все это настраивабельно

В PigProxy тоже настраивается. Собственно, и в стандарте тоже, но сложнее.

kkm1 пишет: локальный юзерский антивирусный монитор, конечно, отловит, но доп . гарантия никому не мешала...

Это верно — оборона должна быть многоуровневой. Кстати, у прокси ещё чёрные списки есть... Надо в них троянские ресурсы запихать, как время найду.
imported
kkm118.03.2006 22:45
Собственно, и в стандарте тоже, но сложнее.


Eproxy\conf\http-proxy\plugins\cache\index.f ?
Посмотрел, ничего не понял, еще раз посмотрел... В общем, без примера-образца настройки, как например "кэшировать и хранить файлы *.jpg * .gif *.png 4 часа" — не осилю
imported
pig19.03.2006 02:05
Eproxy\conf\http-proxy\plugins\cache\OnRequest.rules.txt
Насчёт четырёх часов сейчас затруднительно, соображаю уже с трудом, вот вариант с одними сутками (рабочий, сделал для себя два года назад):
IsCachedFile DUP | FileIsOlderThan: 0 URL =~ *.jpg URL =~ *.gif OR URL =~ *.png OR 0= OR | DROP RefreshCache \EOF | SendFromCache \EOF

Функционал: если запрошенного объекта в кэше нет, то он запрашивается с целевого сервера если объект есть, лежит меньше суток, и это картинка (*.gif, *.jpg или *.png), то он отдаётся из кэша если объект другого типа или лежит больше суток, то он запрашивается с целевого сервера при условии, что изменился, иначе отдаётся из кэша.
imported
Работает на Eserv/5.05555 (05.06.2016)