Jump to content

smolin

Members
  • Content Count

    20
  • Joined

  • Last visited

About smolin

  • Rank
    Candidate
  1. Спасибо! Именно банальные вещи и помогли! Выяснилось, что источником заражения и заражаемыми компьютерами являлись компьютеры под Win2000 Prof , на которых не были установлены 3 и 4 сервис паки, заразились также 2 компа под WinXP, на которых не был установлен SP2. Также настроил файрвол между сегментами сети - запретил прохождение пакетов на 135,137,139 порты. Зараженные компьютеры я обнаруживал с помощью анализатора сетевых протоколов EtherReal: зараженный компьютер периодически проводил сканирование сети, очевидно пытаясь подключиться к одному из этих портов( скорее всего к 135 , используя уязвимость RPC). Это сканирование проявлялось в рассылке широковещательных ARP запросов c адреса зараженного компьютера. Далее - удаление вируса, установка сервис паков, установка последних обновлений. Таким методом проблема была решена.
  2. Спасибо, это я читал. Интересно, как происходит заражение и как полностью удалить из сети?
  3. Третий день антивирус Касперского для WinWs v. 5.0.157 обнаруживает то на одном , то на другом компьютере в сети( около 100 машин) вирус Nanspy.f Я исправно его удаляю ( предварительно чищу раздел авто запуска в реестре , содержащий mmsvc32.exe). На следующий день обнаруживаю этот вирус опять. Кто может рассказать о механизме его распространения и методе удаления из сети?
  4. Дорогая Светлана! Совет общего плана: на странице http://www.kaspersky.ru/docs скачайте докуметацию к вашей версии антивируса Касперского и внимательно ее прочитайте. Это поможет вам правильно настроить вашу антивирусню программу и прозвести проверку вашего компьютера.
  5. Имеет ли значение порядок следования правил в секции [smtpgw.access] ConnectRule HeloRule MailfromRule RelayRule? Где должны раполагаться правила типа HeloRule=deny from any to any ? Не мог бы кто-нибудь привести пример цепочки правил, опробовнный на практике?
  6. Спасибо! Видимо об этом надо более подробно написать в документации на SMTPGW. Первое правило, которое разрешает прием почты только моим пользователям из списка, работает нормально.
  7. Я уже это исправил. У меня сейчас две строчки в конф. файле: RelayRule=allow from any to file:/usr/local/etc/users RelayRule=allow from file:/usr/local/etc/users to any вторую строку Smtpgw не воспринимает.
  8. К сожалению в документации я не нашел подробного описания значения параметра cure да и других то же. Было бы неплохо дополнить документацию более подробным описанием всех параметров. Спасибо за помощь!
  9. Удалил пустую строку. Не помогает. Упростил внешний файл users до предела, т.е. оставил всего один адрес: smolin@mailer.pppudp.ru Выдается сообщение о той же самой ошибке. Интересно, что строка RelayRule=allow from any to file:/usr/local/etc/users воспринимается нормально, а строка RelayRule=allow from file:/usr/local/etc/users to any не воспринимается
  10. На стр. 38 руководства дается следующее определение статуса объекта Disinfected: В процессе проверки объекту присваивается один из следующих статусов: • Clear объект не заражен. • Infected объект заражен, не может быть вылечен или лечение не проводилось. • Disinfected объект был заражен и успешно вылечен В то же время на стр 41. написано, что для решения задачи доставки только вылеченных и незараженных сообщений параметру ActionDisinfected надо присвоить значение cure. То есть еще раз лечить вылеченный объект? Что же на самом деле значит статус Disinfected?
  11. Я пытаюсь настроить контроль доступа клиентов из внешнего файла в соответствии с инструкциями на стр 109 и 110 Руководства Администратора. В секции [smtpgw.access] создал два правила: RelayRule=allow from any to file:/usr/local/etc/users.addrmailer RelayRule=allow from file:/usr/local/etc/users.addrmailer to any SMTP GW не стартует. В логе пишет: Jul 26 16:24:43 mailer smtpgw[8090]: Kaspersky SMTP-Gateway for Linux GLIBC 2.2 version 5.5.88/RELEASE Copyright © Kaspersky Lab, 1997-2005. Jul 26 16:24:43 mailer smtpgw[8090]: Initializing started... Jul 26 16:24:43 mailer smtpgw[8090]: Config error in line 265: [smtpgw.access]:RelayRule Value does not match mask Jul 26 16:24:43 mailer last message repeated 110 times Jul 26 16:24:43 mailer smtpgw[8090]: Shutting down started... Jul 26 16:24:43 mailer smtpgw[8090]: Shutting down completed. Вот часть моего конф файла: [smtpgw.access] 260 RelayRule=allow from 127.0.0.1 to any 261 RelayRule=allow from 80.253.9.192/255.255.255.224 to any 263 RelayRule=allow from 10.10.1.0/255.255.255.0 to any 264 RelayRule=allow from any to file:/usr/local/etc/users.addrmailer 265 RelayRule=allow from file:/usr/local/etc/users.addrmailer to any 266 #RelayRule=allow from any to *@mailer.pppudp.ru 267 #MailfromRule=allow has_mx to *@mailer.pppudp.ru 268 RelayRule=deny from any to any Помогите пожалуста разобраться.
  12. Буду ли я получать извещения, если число моих адресатов превысит число пользователей, указанных в лицензии? Зарнее спасибо за разъяснения!
  13. Извините Сергей, если что-то не так сказал. Но когда я посылал запрос на support@kaspersky.com там оказались не в курсе проблемы. А вообще есть пожелание к разработчикам более оперативно извещать об обнаруженных багах на вашем сайте и выкладывать исправления. В целом SMTP GW по заложенной в нем идеологии очень хороший продукт. Всем спасибо за обсуждение.
  14. А где лежит CF1 для простых людей , честно уплативших 20 с лишним тысяч рублей? А вот что у меня было: У меня установлен SMTP GW for Linux на Red Hat 8.0 из дистрибутива > smtpgw-linux-5.5.67. > Почтовая система netqmail -1.05 стоит на том же сервере. > При приеме сообщения , содержащего в качестве вложения тестовый файл > EICAR, > вылеченное сообщение адресату не доставляется, не доставляются и > уведомления. Доставка неинфицированных сообщений происходит нормально. > Содержание maillog файла : > Jul 13 10:33:57 mailer smtpgw[3102]: RECEIVE: Connection accepted for > client > 10.10.1.15. > Jul 13 10:33:57 mailer smtpgw[3102]: jAXuDx1a98573: RECEIVED, > from=<smolin@mailer.pppudp.ru>, nrcpt=1, size=1363, client=[10.10.1.15], > helo=<itipomav>, message-id=<002301c58774$2a880300$0f010a0a@uprawa.pri> > flags="D" > Jul 13 10:33:57 mailer smtpgw[3102]: RECEIVE: Connection closed for client > 10.10.1.15. > Jul 13 10:33:59 mailer smtpgw[3102]: jAXwjDJZ21432: AV-SCANNED, > group="all", > nrcpt=1, srcid=jAXuDx1a98573, status="infected", names="EICAR-Test-File" > Jul 13 10:33:59 mailer smtpgw[3102]: jAXwjD5f05749: CREATED, > from=<MAILER-DAEMON@mailer.pppudp.ru>, notify=<admin>, size=4020, > nrcpt=27, > srcid=jAXuDx1a98573 > Jul 13 10:33:59 mailer smtpgw[3102]: jAXwjDSw78484: CREATED, > from=<MAILER-DAEMON@mailer.pppudp.ru>, notify=<recipient>, size=4009, > nrcpt=16, srcid=jAXuDx1a98573 > Jul 13 10:34:00 mailer smtpgw[3102]: jAXwjDSw78484: SPLITTED: > domain=<pppudp.ru>, nrcpt=1, srcid=jAXwjDSw78484 > Jul 13 10:34:00 mailer smtpgw[3102]: jAXwjD5f05749: SPLITTED: > domain=<mailer.pppudp.ru>, nrcpt=1, srcid=jAXwjD5f05749 > Jul 13 10:34:00 mailer smtpgw[3102]: jAXwjDJZ21432: SPLITTED: > domain=<pppudp.ru>, nrcpt=1, srcid=jAXwjDJZ21432 > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Connecting... > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Connection established to > 80.253.9.220. > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Sending to 80.253.9.220... > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Connecting... > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Connection established to > 80.253.9.220. > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Sending to 80.253.9.220... > Jul 13 10:34:01 mailer smtpgw[3102]: jAXwjDSw78484: SEND: Sending data to > 80.253.9.220... > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: jAXwjDSw78484: Attempt to send > envelope to 80.253.9.220 temporary failed. > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: jAXwjDJZ21432: Attempt to send > envelope to 80.253.9.220 temporary failed. > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Connection to 80.253.9.220 > closed. > Jul 13 10:34:01 mailer smtpgw[3102]: jAXwjD5f05749: SEND: Sending data to > 80.253.9.220... > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: jAXwjD5f05749: Attempt to send > envelope to 80.253.9.220 temporary failed. > Jul 13 10:34:01 mailer smtpgw[3102]: SEND: Connection to 80.253.9.220 > closed. >
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.