Dr.Web сменяет политику лицензирования

Ебизнесмены, блин. Запросили всего навсего 527800 руб. До конца имеющейся лицензии доработаем, а потом пошли они лесом.

2oduvan (*) (09.01.2004 9:16:28)
"А вот что касается больших компаний - то они и заплатить могут легко для них это не деньги"
Безуслоно да. $10k это не большие деньги. Есть только несколько ньюансов
1. Технически забивать пару тысяч адресов в какие-то конфиги это совершенно неприемлемо в силу того, что я например, отвечая за инфраструктуру почты в целом, не контролирую процесс заведения юзеров на полутора десятках почтовых серверов. Я даже не знаю точно _сколько_ их всего.
2. Мне не совсем понятно что будет с письмами на адреса, кторые не поименованы в конфигах? Они будут боунсится? Или проходить без проверки - и о и другое в равной степени не катит, особенно второе. При вирусах, вставляющих в mail from: левый адрес, одна зараженная машина в клиентской сети почтовика, будет бесперпятственно рассылать вирусы, даже при том, что все репальные адреса будут прикрыты.
3. Увелечение цены например в нашей комплектации в _двадцать_ раз, при том, что само ПО вообще _никак_ не изменилось, извините, воспринимается как желание делать $ из воздуха. Попробуйте обосновать продление такой лицензии перед любым начальником, имея на руках счет за передыдущую.
4. Решения за $10к это решения несколько иного уровня, где отсутствует лажа, перечисленная в пп. 1-2.

посмотрели мы на предлагаемую цену, поржали всей конторой. а чего вы хотите, бизнес-то сАвеЦкий :)

что такое bdc(free)?
как f-prot накручен на проверку почты?

чё то а не понял насчёт clamav anonymous (*) (08.01.2004 19:13:50) пишет что он отлавливает далеко не все вирусы и что DrWeb рвёт его как тузик грелку, или у Линуксового комунити так принято не реагировать на факты которые порочат их любимый GPL и они умеют тока слюной от зависти брызгать видя как кто-то денушку зароватывает?

"зароватывает" - прикольный термин кстати получился :)
знаешь, когда цена на продукт вдруг повышается в 20 раз, то это должно быть чем-то обосновано, кроме желания просто заработать. если для тебя это неочевидно, то никакие грелки и тузики тебя не спасут. Единственная выгода из этой ситуации, что  clamav-у будет уделено большее внимание, чем прежде и он станет еще лучше :) Относительно зарабатывания денюжки, имхо, дрвебовцы просто решили сразу срубить бабла с крупных клиентов, ибо от контор, в которых до пару сотен или тысяч мыльников они денег врядли дождутся, а может они таким странным способом решили выйти на взрослый международный рынок и не ударить в грязь лицом. Мол, продукт достойный - платите деньги. Если они не сделают скидок для отечественного пользователя, то врядли смогут заработать тут нормально денег. А может им и не нужно это вовсе ? :)

>чё то а не понял насчёт clamav anonymous (*) (08.01.2004 19:13:50)
>пишет что он отлавливает далеко не все вирусы и что DrWeb рвёт его как
>тузик грелку, или у Линуксового комунити так принято не реагировать на
>факты которые порочат их любимый GPL и они умеют тока слюной от
>зависти брызгать видя как кто-то денушку зароватывает?

А если я скажу, что у меня все ловит, которые были под рукой и которые
каждый день наровят пролезть, это будет аргументом? Clamav хороший
сканер, база на сегодня уже под 20000 сигнатур и каждый раз
увеличивается, то что у анонимуса пропустил несколько вирусов, так
это еще не значит, что он этот clamav правильно установил, там есть
некотороые нюансы, такие как архивные файлы, глубина рекурсии
и т.д., что бы он брал архивные файлы, надо собрать с поддержкой
zlib, libunrar и/или обучить использовать внешние разархиваторы,
с последним я не разбирался, достаточно zip архивы смотреть, так как
большенство только им и пользуются....

156 из 320 это теперь значит называется "несколько вирусов" :)

Кстати, весь лог clamav'а насыщен вот такими записями

..........
Fri Jan 9 12:13:19 2004 -> stream: Worm.BugBear.B FOUND
Fri Jan 9 12:16:16 2004 -> stream: Yaha.P FOUND
Fri Jan 9 12:18:38 2004 -> stream: Yaha.P FOUND
Fri Jan 9 12:28:40 2004 -> stream: Yaha.P FOUND
Fri Jan 9 12:57:19 2004 -> stream: W32/BugBear.A FOUND
Fri Jan 9 12:57:20 2004 -> stream: W32/BugBear.A FOUND
Fri Jan 9 13:08:58 2004 -> stream: Worm.Mimail.J FOUND
Fri Jan 9 14:42:12 2004 -> stream: Worm.Gibe.F.UPX.2 FOUND
Fri Jan 9 14:42:50 2004 -> stream: Worm.Gibe.F.UPX.2 FOUND
Fri Jan 9 14:48:49 2004 -> stream: Worm.Gibe.F.UPX.2 FOUND
Fri Jan 9 14:49:37 2004 -> stream: Worm.Gibe.F.UPX.2 FOUND
.........

И это только за несколько часов....

>156 из 320 это теперь значит называется "несколько вирусов" :)

В это я не поверю никогда.... Понимаю там писем 40 максимум
пропустил бы, но не половину...

DrWeb рулит а то что денег за него запросили столько сколько он стоит, так это правильно. Это раньше цена была занижена а не теперь завышена.

хорошо. допустим, что он того стоит. ДОПУСТИМ. меня просят замен 400$ заплатить 20000$. что изменилось, мне добавят гарантий качества или хотя бы пообещают чего-то ? не думаю. и какие у меня аргументы к моему руководству, кроме "оно того стоит" ? :) а где гарантия того, что через год новая версия сего продукта не подорожает еще разиков в 5-ть или 10-ть ? Предпосылки уже есть :)

Ну почему же на самом деле ведь не от количества писем это зависит если во всех 320 один и тот же вирус которого clamav не знает то пропустит 320 из 320 ;)

>DrWeb рулит а то что денег за него запросили столько сколько он стоит,
>так это правильно. Это раньше цена была занижена а не теперь
>завышена.

Я раньше думал перейти на него, какраз после нового года, даже начальство согласилось, могли легко до 1000$ в год платить, но
когда они устроили такой номер, то теперь рулем будет clamav
и самописная утилита, которая будет переименовать исполняемые
файлы (exe,com,bat и прочая поеб..ь) в неисполняемые (exe_warning,
com_warning, bat_warning и прочая поеб..ь).... Я еще не дошел до той
стадии, что бы почти 2000 сотрудников нашей компании контролировать
на 10-ках почтовых серверов и каждый раз заниматься списками, у
меня есть центральный сервер, на который все стекается, за другие
я не отвечаю, а требовать с тех, кто отвечает, такие списки - ну его нах...

>Ну почему же на самом деле ведь не от количества писем это зависит если 
>во всех 320 один и тот же вирус которого clamav не знает то пропустит 
>320 из 320 ;)

Сколько я не просил прислать мне хоть один вирус, про который незнает
clamav, так никто не прислал... Я поверю в то, что какой-нибудь 
старенький, еще во времена доса, вирусок и пролезет, но вряд ли он
под виндами сможет работать, тем более, что везде уже стоит как минимум
w2k. Еще я поверю в то, что вирус может содержаться в архиве, типа ace,
но тут извини, не моя проблема, если юзер развернет архив своими тупыми
рученками от неизвестных лиц и запустит, то проблема будет лично его,
а если он еще и по почте пойдет, то штраф такому юзеру будет 
немаленьким, нашей компании ни один год, инструкций на каждый чих 
писалось тоннами, в том числе и про почту, где явно указана 
ответственность и какие последствия ожидают того юзера, который 
проигнорировал эти инструкции..

еще раз повторюсь:
drweb аккуратно складывает в карантин письма с вирусней.
вот я и взял прогнал эту папку через clamav:
clamscan --unzip --unrar -r ~/infected/
/home/user/infected/drweb.quarantine.o5jBPB: Exploit.IFrame.Gen FOUND
/home/user/infected/drweb.quarantine.BFgBto: OK
/home/user/infected/drweb.quarantine.tHITc0: OK
/home/user/infected/drweb.quarantine.3ohmoo: OK
/home/user/infected/drweb.quarantine.X4TzV7: OK
/home/user/infected/drweb.quarantine.32IXah: Exploit.IFrame.Gen FOUND
[skip...]

----------- SCAN SUMMARY -----------
Known viruses: 29955
Scanned directories: 1
Scanned files: 321
Infected files: 156
Data scanned: 22.18 MB
I/O buffer size: 131072 bytes
Time: 17.482 sec (0 m 17 s)

еще я просил сказать, что возможно что-то не так cделаk.
попробую накрутить его для sendmail через milter и погонять еще раз.

куда выслать неопределенное письмо?

указание полного пути для unzip'а ничего не дало.
а вот что сказал доктор
Dr.Web detailed report:
127.0.0.1 [97349] drweb.tmp.YxyiRo - archive MAIL
127.0.0.1 [97349] drweb.tmp.YxyiRo/[text:plain] - Ok
127.0.0.1 [97349] drweb.tmp.YxyiRo/photos.zip infected with Win32.HLLM.Foo

>чё то а не понял насчёт clamav anonymous (*) (08.01.2004 19:13:50) пишет что он отлавливает далеко не все вирусы и что DrWeb рвёт его как тузик грелку,

Это, конечно, авторитет - anonymous (*) (08.01.2004 19:13:50)

Да мало ли кто чего ляпнет. Может этот анонимус - засланный казачок от Drweb?

>или у Линуксового комунити так принято не реагировать на факты которые порочат их любимый GPL

Нет. Здесь принято - "факты в студию". Тут кто-то уже попросил прислать в архиве хотя бы одно письмо, в котором clamav не нашел вирус. Или просто указать название вируса, которое нашел Drweb и не обнаружил clamav.

Но что то от этого anonymous (*) (08.01.2004 19:13:50) ответа нету.

Вывод: 3,14здешь!

.....
>еще я просил сказать, что возможно что-то не так cделаk.
>попробую накрутить его для sendmail через milter и погонять еще раз.
>
>куда выслать неопределенное письмо?

Будь добр, кинь неопределенные письма из карантина мне на мыл
mcmcc(at)mail(dot)ru... Я посмотрю что не так....

>Known viruses: 29955

Хмм.... Разве такое кол-во сигнатур в базе? У меня гораздо меньше...
Known viruses: 19802
Может что то с базой? Версия clamav какая?

>clamscan --unzip --unrar -r ~/infected/

RTFM

man clamscan

--mbox Enable scanning of Mbox, Maildir and raw mail files.

Обрати внимание на raw mail files!

И еще.

--unzip In most cases you don't need this option - the built-in unarchiver will do the work.

никакой я не засланый, как и не пвторитет ;-)
как впрочем и вы - такой же анонимус.
я разобраться хочу.
кусок отчете - это "не факты"??? ну на пиво вас пригласить уже не могу, извиняйте.
файлик на разбор отправил.
гуляла вирусня, которая типа приватные фотки рассылала

p.s. если я буду подписываться Vasja Pupkin от этого кому-то легче станет? какая разница? такой же анонимус, только подпись другая. все мы тут анонимы.

спасибо. признаю свою ошибку. не усмотрел важность ключика.
собака порылась именно в --mbox
таже папка с ключем:
clamscan --mbox --unzip --unrar -r ~/infected
дает такой результат:

----------- SCAN SUMMARY -----------
Known viruses: 29955
Scanned directories: 1
Scanned files: 321
Infected files: 319
Data scanned: 9.69 MB
I/O buffer size: 131072 bytes
Time: 37.041 sec (0 m 37 s)

убедили по поводу clamav'а.
p.s. три неотловленых письма не в счет, т.к. drweb еще складывает необработанные письма

clamav 0.65
c обновленной с помощью freshclam базой

Всетаки что то у тебя не так....
Получил твой атачмент и закинул в tmp

$clamscan --mbox /tmp/1
/tmp/1/drweb.quarantine.sEM1KE: Suspected.Zip FOUND

----------- SCAN SUMMARY -----------
Known viruses: 19802
Scanned directories: 1
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
I/O buffer size: 131072 bytes
Time: 0.750 sec (0 m 0 s)

>clamav 0.65
>c обновленной с помощью freshclam базой

У меня 0.66с из CVS собран с ключами
--enable-milter
--enable-id-check \
--disable-clamav \
--with-user=clamav \
--with-group=clamav \
--with-dbdir=/var/lib/clamav

Known viruses: 29955
^^^^^^^^^^^^^^^^^^^^
чего за базки ты ему подсунул ?
может я недоглядел чего ? колись :)

а что собственно не так?
я не указывал --mbox из-за этого весь сыр-бор

>я не указывал --mbox из-за этого весь сыр-бор

Понятия не имею, однако для сканирования писем --mbox обязателен,
что же касается архива, то zip ругается на него и говорит что он
нехороший, при этом даже сканер не напрягся...

здается мы путаем понятие "сигнатуры" и "вирусы":

ClamAV update process started at Thu Jan 8 17:58:56 2004
main.cvd updated (version: 13, sigs: 19603, f-level: 1, builder: ddm)
daily.cvd updated (version: 78, sigs: 196, f-level: 1, builder: tkojm)
Database updated (19799 signatures) from database.clamav.net (128.121.60.235).

обновись....

ClamAV update process started at Fri Jan 9 15:20:31 2004
main.cvd is up to date (version: 13, sigs: 19603, f-level: 1, builder: ddm)
daily.cvd updated (version: 79, sigs: 199, f-level: 1, builder: diego)
Database updated (19802 signatures) from database.clamav.net (195.86.57.50).

уже заметил.
фигня какая-то. буду разбираться.

>уже заметил.
>фигня какая-то. буду разбираться.

Вот и славненько, так что 3-и письма из 320 уже на реальность похоже,
возможно эти 3-и письма и не с вирусами вовсе....

ту же новость обсуждают, результаты похожи
http://www.opennet.ru/opennews/art.shtml?num=3275

обновился из cvs. базы тоже обновил.
suspected zip :-(
надо будет тестировать через мильтер

>обновился из cvs. базы тоже обновил.
>suspected zip :-(

Ну так и должно быть....! Чего проверять, если это не zip архив, а туфта?
И нечего растраиваться....

>надо будет тестировать через мильтер

Тоже самое и будет, и это нормально, у меня этих suspected zip
почти через день пачками...

Никак не могу настроить вызов проверки из sendmail-а по приведенному в документации примеру:

INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clmilter.sock,F=, T=S:4m;R:4m')dnl
define(`confINPUT_MAIL_FILTERS', `clmilter')

может не в той последовательности прописываю вышеозначенный фрагмент в своем .mc, ругается sendmail (8.12.10) таким образом:

Jan 9 22:35:53 alex sm-mta[156]: NOQUEUE: SYSERR(root): /etc/mail/sendmail.copy.cf: line 1675: X\021clmilter\022: unknown filter equate \021=
Jan 9 22:35:53 alex sm-mta[156]: NOQUEUE: SYSERR(root): /etc/mail/sendmail.copy.cf: line 1675: X\021clmilter\022: empty or missing socket information


/usr/local/sbin/clamd и /usr/local/sbin/clamav-milter -blo /var/run/clamav/clmilter.sock запущены.

Да, вызов clanav хочу производить до drweb, может кто приведет свои строчки уже из .cf, которые будут вызывать clamav, впишу себе.

При таких ценах я уже добавлю немного и куплю TrendMicro - функциональность богаче в несколько раз, профессионализм саппорта и список поддерживаемых платформ тоже не сопоставимы.

До сих пор покупал, потому что было "дёшево и сердито". Сердитость осталась, дешевость пропала. Жаль.

Но жизнь продолжается.

Да e-бать этот докторвеб ! О чём спор ? Неужели нет других антивирусов для юниха ? Или руки из ж0пы растут чтобы заменить веба ?

>S=local:/var/run/clmilter.sock
>/usr/local/sbin/clamav-milter -blo /var/run/clamav/clmilter.sock

А что вы хотите батенька? Вы конфигу сендмайла говорите, что
сокет у вас в /var/run/clmilter.sock, а сами же создаете его в
/var/run/clamav/clmilter.sock, вот и ругается сендмайл, что сокет
не найден...

Да нет же, причина не в этом, тут правильно я указываю, тут что-то другое.

INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clamav/clmilter.sock,F=, T=S:4m;R:4m')dnl
define(`confINPUT_MAIL_FILTERS', `clmilter')

Во всем разобрался.

хм... если lotus использовать, то да - список платформ у trendmicro широк :) а к сендмейлу обыкновенному прикрутить как ?

mail.ru или кто-то там еще из бесплатных ящиков, проверялись dr.web'ом.
Возникает законный вопрос - им за несколько миллионов ящиков платить
придется? :)

Ндааа... Вот оно - инстинное лицо красноглазых GPL'щиков. Они используют GPL ПО не потому, что оно удобное или качественное, а только потому, что оно GPL. Мне кажется, такие с удовольствием использовали бы в своей работе собачье дерьмо, если бы оно шло под лицензией GPL. Что ж вы, студентишки неблагодарные? Месяц назад вы молились на drweb, до поросячьего визга радовались (иначе бы не использовали) и качали обновление каждый час. Что случилось? Халява кончилась? Денег попросили? И продукт сразу дерьмом стал... Что ж вы на нем сидели-то раньше? Что, достойно уйти не можете? Обязательно перед уходом нужно бзднуть оставшимся и хлопнуть дверью? Короче - красноглазики, они и в африке красноглазики. Халяву у них отняли, бедненькие студентики...

еще раз для богатых и умных профессоров: продукт хуже от того, что на него цена поднялась не стал конечно. а вот стал ли он лучше из-за того, что теперь за него хотят в 20-ть раз больше, чем раньше ? :) сходи на форум http://drweb.ru и почитай как тамошние sales не могут сказать ничего вразумительного по этому поводу. ты часом не "ихний" ? :)

именно. создается впечатление, что вся эта бодяга затевалась только для того, чтобы с таких клиентов снять сразу много бабла :) может они не купили лицензию на пару годков вперед

сходи на форум http://drweb.ru и почитай как тамошние sales не могут сказать ничего вразумительного по этому поводу.

Салесы работают с теми, кто выкладывает 20k$. Нужен ты им, отвечать тебе...

сходи на форум http://drweb.ru и почитай как тамошние sales не могут сказать ничего вразумительного по этому поводу.

Сходил, почитал. Слушайте, неужели красноглазики настолько тупорылы, что тонких намеков не понимают? Вам же там было сказано: "продажа лицензии одному только центробанку покроет доход от всех тут голдящих вместевзятых, даже если они купят лицензии на два года вперед". Ну? Вы все ещё не на clamav'е? Ну так 3.14дуйте скорее. У саппорта drwebового меньше проблем будет, а денег больше :) Профессор :)

20K$ это цена за 6К почтовых ящиков на год, жаль, что не ответили, я может быть подумал бы еще