Dr.Web: Антивирус и Антиспам для Unix

>не вижу смысла в drweb (который кстати платный для серверов):

Разные целевые аудитории. Для себя, любимого, или мегакорпорации с офисом в три комнаты и двадцатью сотрудниками, возможно пользовать что угодно, в том числе спамотсосин.

Если в организации тыщи три сотрудников + ты отдаёшь почту ещё нескольким тысячас клиентов - приоритеты уже совсем другие.

>Заметь - may, а не must. Так что может в природе существовать smtp-relay, удовлетворяющий rfc, который не будет пытаться повторно переслать письмецо после первого отлупа...

Бездумный трындёж. Вместо потрясания иллюзорными копьями будет гораздо интересней, если ты приведёшь конкретный пример такого SMTP-эмиттера.

> Диалог-наука - не есть доктор веб вообще-то....

Я знаю. Просто хотел показать, что основной (золотой) партнер и прародитель Dr.WEB предлагает другое решения для спама. Хотя они так же предлагают решения от Sophos, в том числе и антивирус, и MS Forefront, который, в том числе, использует ядро касторского, но не Dr.WEB. :) Все это просто как намек на уровень антиспамового решения. Дай бог, что бы у них вышел такой же качественный продукт, как и Dr.WEB.

а в чем поддержка антивируса ?
вовремя записать сигнатуру вируса в базу вирусов?
а то что любой видоизмененный на 100% не обнаруживается никаким АВ это результат техподдержки?

>>Заметь - may, а не must. Так что может в природе существовать
>>smtp-relay, удовлетворяющий rfc, который не будет пытаться повторно
>>переслать письмецо после первого отлупа...

> Бездумный трындёж. Вместо потрясания иллюзорными копьями будет
> гораздо интересней, если ты приведёшь конкретный пример такого
> SMTP-эмиттера.

загляните на досуге в /etc/postgrey/whitelist_clients - там много интересного


# greylisting.org: Southwest Airlines (unique sender, no retry)
southwest.com
# greylisting.org: Yahoo Groups servers (no retry)
scd.yahoo.com
# greylisting.org: isp.belgacom.be (wierd retry pattern)
isp.belgacom.be
# greylisting.org: Ameritrade (no retry)
ameritradeinfo.com
# greylisting.org: Amazon.com (unique sender with letters)
amazon.com
# 2004-05-20: Linux kernel mailing-list (unique sender with letters)
vger.kernel.org
# 2004-06-02: karger.ch, no retry
karger.ch
# 2004-06-02: lilys.ch, (slow: 4 hours)
server-x001.hostpoint.ch
# 2004-06-09: roche.com (no retry)
gw.bas.roche.com
# 2004-06-09: newsletter (no retry)
mail.hhlaw.com
# 2004-06-09: no retry (reported by Ralph Hildebrandt)
prd051.appliedbiosystems.com
# 2004-06-17: swissre.com (no retry)
swissre.com
# 2004-06-17: dowjones.com newsletter (unique sender with letters)
returns.dowjones.com
# 2004-06-18: switch.ch (works but personnel is confused by the error)
domin.switch.ch
# 2004-06-23: accor-hotels.com (slow: 6 hours)
accor-hotels.com
# 2004-06-29: rr.com (no retry, reported by Duncan Hill)
/^ms-smtp.*\.rr\.com$/
# 2004-06-29: cox.net (no retry, reported by Duncan Hill)
/^lake.*mta.*\.cox\.net$/
# 2004-06-29: motorola.com (no retry)
mot.com
# 2004-07-01: nic.fr (address verification, reported by Arnaud Launay)
nic.fr
# 2004-07-01: verizon.net (address verification, reported by Bill Moran and Eric)
/^sc\d+pub\.verizon\.net$/

>Разные целевые аудитории. Для себя, любимого, или мегакорпорации с офисом в >три комнаты и двадцатью сотрудниками, возможно пользовать что угодно, в том >числе спамотсосин. >Если в организации тыщи три сотрудников + ты отдаёшь почту ещё нескольким >тысячас клиентов - приоритеты уже совсем другие.

и что же тогда вы предлагаете использовать?

2000 ящиков
20000 писем в сутки

sendmail + spamassassin + clamav + procmail

la не поднимается до 0.5

все это бесплатно

Дык займись этим, парень ! ДАже под ГПЛ станешь миллионером ! А, я понял. Ты манагер ?

Пиши в асю - 65517197, поговорим...

>> Если кто-то позволяет запускать программы из модифицируемых каталогов -- тот сам себе враг.

> А как у юзера будут по крону отрабатывать скрипты?

1. Придет дядя админ, проверит скрипт, кинет его в /usr/local/bin, а оттуда уже можно пускать его по крону.

2. Если пользователь такой умный, что дядя админ ему доверяет, то пользователь сам делает sudo cp скрипт /usr/local/bin, откуда cron его запускает.

> А как перловые скриптына вхосте работать будут?

Сервер -- это же не рабочее место с тупоголовым юзером. Вряд ли на этом сервере (за этом сервером) сидит (в прямом и переносном смысле) нечто (некто), которое само-собой запускает свежевыкачанную дрянь.

> работающие под Linux (glibc 2.3)

на дворе уже давно 2.5, а они всё ещё 2.3.x пользуют

>>Глупости говорите, вирусы под *nix почти не встречаются (доводилось видеть только отдельные такскать "концепты", в диком виде не отлавливал) только потому что массово их никто не делает по причине относительно малой распостраненности *nix-систем на десктопе.

Ну концепты концептами, однакож ни один прототип до сих пор без помощи рута не работает. Кстати что там у нас на маках? Весьма распространенны на десктопе. И где вирусы под макось? И зоопарка с либами такого нет как под линем. Кстати, наиболее интересно подсадить таки сервак, нежели гоняться за периодически исчезающим из сетки десктопом. Толку больше. Так что никакие это не глупости. И вирь под линь написать интерес реальный. Этож какой пиар майкрософту (никсы, де, то еще дер..)

ЗЫ. Дыры есть во всех системах. Отношение к ним разное. Под никсами дыру как правило заливают бетоном. А под виндой к дыре дверку с замочком пытаются присобачивают, да еще рекомендуют почаще замочки менять.

>вирусы под *nix почти не встречаются ... только потому что массово их никто не делает по причине относительно малой распостраненности *nix-систем на десктопе.

зато пресловутые *nix-системы афигительно распространены на на всяких железках класса soho (роутеры, adsl-модемы итп).

>но уверяю что и в линуксе это вполне возможно.... только геморрой не стоит свеч (все стессно ИМХО)

стОит.

примеры массовых атак на вышеозначенные девайсы - фстудию!

> 1. Придет дядя админ, проверит скрипт, кинет его в /usr/local/bin, а оттуда уже можно пускать его по крону.

А смысл-то какой в этом ритуале, если эти же скипты запустятся как sh script.sh либо perl blah.pl?

>Сервер -- это же не рабочее место с тупоголовым юзером. Вряд ли на этом сервере (за этом сервером) сидит (в прямом и переносном смысле) нечто (некто), которое само-собой запускает свежевыкачанную дрянь.

Сервер с шаред хостингом, например.

> на дворе уже давно 2.5, а они всё ещё 2.3.x пользуют

Вот и используй 2.5, гентушнег, сверкающий красными фарами, а по мне так гонка за новейшими версиями программок это верный синдром закоренелого виндузятника, он тоже постоянно льют с инета самое новейшее дерьмо самых распоследних версий не потому, что нужно, а просто чтобы было.

Дебильянщег? Уж больно глаза красные.

Я другой анонимус, но ты тяпок. 2.5 уже во всех нормальных дистрах (RHEL 5.0, и, соответственно, CentOS тому пример).

>Я другой анонимус, но ты тяпок. 2.5 уже во всех нормальных дистрах (RHEL 5.0, и, соответственно, CentOS тому пример).

У меня на адсл-модеме ядро 2.4.17 и gcc 2.95.3 Поможешь поставить туда Генту?

> Российский разработчик антивирусов, компания "Доктор Веб" выпускает

> новое поколение своих продуктов для защиты Unix-серверов от вирусов

Привет emacs! А давно Unix-серверы стали подвержены вирусам, чтобы их защищать? :-)

> Привет emacs! А давно Unix-серверы стали подвержены вирусам, чтобы их защищать? :-)

Законы сохранения знаешь? Сначала вирусов не было, потом ставят каспера или веба и вирусня начинает слетаться на антивирусы как мухи на говно. В других местах их при этом становится меньше.

Считай, прямая аналогия с умилостивляющаими жертвоприношениями тёмным цифровым богам, только раньше девственницы да вино в ходу больше были, а адептами-жрецами, что посредничали, выступали админы.

А теперь, благодаря "одминам"-вендузянтегам, что в лучшем случае выступают в качестве обслуги уровня подметальщиков, поток жертв иссяк и вино тоже потеряло актуальность, сменившись быдло-пойлом под названием "пыво".

И в таких условиях юникс-сервера выступают вообще последней линией обороны, по типу солдатов-камикадзе, что с гранатами под танки бросались. А админы этих серверов - прижизненные святые и вообще тотально благочестивые персонажи.

Но гибель цивилизации и уничтожение роботами человечества это всё равно не отменяет.

>
>зато пресловутые *nix-системы афигительно распространены на на всяких
>железках класса soho (роутеры, adsl-модемы итп).

>но уверяю что и в линуксе это вполне возможно.... только геморрой не
>стоит свеч (все стессно ИМХО)
>
>стОит.

>примеры массовых атак на вышеозначенные девайсы - фстудию!

Бред сивой кобылы, каким боком тут роутеры?
Большая часть вирусов расчитана для атаки десктопов.
На худой конец серверов.... а писать вирус для атаки роутера,
на котором по определению не должно быть поднятых серверов....
вы где такую траву берете, сэр... я б тоже прикупил киллограмчик.

Про уникальные технологии и сравнение. Основная фишка - антиспамовский модуль. Не использует DNSBL, работает только на аналитике. Это отличие от касперского, который процентов 60 берет за счет них. Мы отдали на тестирование в сисадмин. Оплачивалась только статья, но не результат. Они клянутся, что у них реально отсеивалось 99 процентов спама без единого ложного срабатывания. Честно - я им сначала не поверил и попросил урезать осетра. А вторая фишка, то что мы всем раздаем sdk и поможем (если кто напишет)в продвижении модулей под наш продукт. Скоро будет акция на эту тему.

Вячеслав ООО "Доктор Веб"

>> работающие под Linux (glibc 2.3) >на дворе уже давно 2.5, а они всё ещё 2.3.x пользуют

Более поздние glibc совместимы с 2.3. Потому так и назвали. А основная проблема почему мало пакетов - нет программеров под линукс. Не можем найти достаточно квалифицированных людей для развития продукта

Вячеслав Доктор Веб

> Я другой анонимус,

Но такой же ламер.

> 2.5 уже во всех нормальных дистрах (RHEL 5.0, и, соответственно, CentOS тому пример).

И што пля? Программа, линкующаяся с libc6 версии 2.3 не заработает с libc6 версии 2.5?! Заработает! Зато программа, заточенная под новые фичи glibc 2.5 не заработает на системах с 2.3.

> Законы сохранения знаешь? Сначала вирусов не было, <skip>

Gharik, не балуйся гибочками, а то совсем свихнешься.

>и что же тогда вы предлагаете использовать?

Я уже писал выше.
Выборочно пропускать хосты через грейлист, за ним поставить антиспам касперского.

>загляните на досуге в /etc/postgrey/whitelist_clients - там много интересного

4Tester: Радует, что всё, попавшее в whitelist, прописано в обратной зоне и домены не подпадают под DUL. Такие хосты я через грейлист не пропускаю.

Но это не ответ на вопрос "покажите эмиттер". Скорее это ответ на вопрос: "назовите мудаков, умудрившихся сломать работающую вещь" ;)

>Про уникальные технологии и сравнение. Основная фишка - антиспамовский модуль. Не использует DNSBL, работает только на аналитике. Это отличие от касперского, который процентов 60 берет за счет них

Не сказал бы. Единственная фишка, за который я использую KAS - апдейты, сиречь спам-сигнатуры, которые генерит команда лингвистов (по крайней мере там заявлялось ещё Ашмановым), отлавливая спам.

Как с этим у вас? Ваша аналитика работает независимо, апдейты не нужны?

Вячеслав, вдогонку:

>Они клянутся, что у них реально отсеивалось 99 процентов спама без единого ложного срабатывания

Мне в это верится с большим трудом ;) Либо поток спама был очень специфичен (письма на postmaster@, например, куда нормальных писем сваливается раз в год).

Настолько с трудом, что я готов поучавствовать в тестировании (поставив в параллель с работающим касперским)

Есть у грейлистинга ещё один минус: при повторной отсылке IP-адрес сервера-отправителя может быть уже другим: например у того же yahoo.com дофига IP-адресов и отправляет он каждый раз с нового. Пока все переберёт, может и 4-х дневный срок пройти, после которого письмо уже не доходит вообще :-((

> Как с этим у вас? Ваша аналитика работает независимо, апдейты не нужны?

Апдейты естественно выходят. Я просто про них не упомянул

> Настолько с трудом, что я готов поучавствовать в тестировании (поставив в параллель с работающим касперским)

С удовольствием помогу. Такое сравнение мне самому интересно. Пиши на v.medvedev drweb.com - договоримся

И дополнение. У нас сейчас разрабатывается еще один антиспамовский модуль для той же системы. В отличие от используемого - обучаемый пользователями. было бы интересно сравнить оба наших и Касперский

>Бред сивой кобылы, каким боком тут роутеры?

тем, что проще атаковать 1 хост, чем 10. сюрприз?

>Большая часть вирусов расчитана для атаки десктопов.

ну еще бы! "за неимением горничной имеем дворника". Ы!

>На худой конец серверов.... а писать вирус для атаки роутера,

а роутер-то чем тебе не "сервер"?

>на котором по определению не должно быть поднятых серверов....

гм... "серверов"... вендузятнег?

лучше расскажи это Длинкам и Акорпам. А то в их железках DHCP дефолту запускается...

А теперь попробуй внятно объяснить, хотя бы себе, почему (в отличии от "вордовских" говновирусов) не стОит залезть на практически неконтролируемую железку, отдающую по dhcp настройки всем 10 компам быдлосети...

hint: man DNS

>вы где такую траву берете, сэр... я б тоже прикупил киллограмчик.

дык эт-та... велкам, кагрицца, в реальный мир!