Лаборатория Касперского начинает бета-тестирование Kaspersky Security SMTP-Gateway

> У касперского обновления каждый день, а clamav раз в месяц, а то и
> реже выходит... Вот и думай

правильно - вот и думай чем апдейт _кламава_ отличается от апдейта _баз_ кламава.

апдейт _баз_ идет (у меня) 4 раза в сутки. а последний апдейт самого _кламава_ - месяца 2 назад - или когда там опять почтовую бомбу замутили?

Обновления drweb рекомендуют ставить раз в полчаса

>правильно - вот и думай чем апдейт _кламава_ отличается от апдейта
>_баз_ кламава.

На сколько надо быть "точным", что бы вы поняли, что речь шла имено про базы?

> Нужно в начале разобраться, как они попали, а как станет ясно

зашли через дремучую версию mod_ssl к апачу, ядро было тоже старое -- получили рута через него (ptrace24). посадили помимо всего прочего еще и руткит. но вирус там тоже был -- вгрызался в чистые файлы ls, ps, netstat, rpm еще какие-то. причем ориентирован был видимо именно на redhat (ну или на rpm-based дистрибуцию) потому что во-первых знал что надо заразить rpm во-вторых фейкал его вывод

Вы бы, уважаемый анонимус, перед тем как о чем-то говорить,
разобрались в том о чем говорите. ;)

>вгрызался в чистые файлы

Ужос нах.

а под дос по-твоему как вирусцы работали? никогда таким вредительством плотно не занимался? собственно это и есть классический вирус

man bubblegum

>зашли через дремучую версию mod_ssl к апачу, ядро было тоже старое --
>получили рута через него (ptrace24). посадили помимо всего прочего еще
>и руткит. но вирус там тоже был -- вгрызался в чистые файлы ls, ps,
>netstat, rpm еще какие-то. причем ориентирован был видимо именно на
>redhat (ну или на rpm-based дистрибуцию) потому что во-первых знал что
>надо заразить rpm во-вторых фейкал его вывод

Видите, сколько надо было сделать, что бы "заразить" фалы, это вам не
DOC с XLS открыть... Только вот под определение ВИРУС это ну ни как
не вяжется... Червь, он и в Африке червь, если вовремя обновляться, то
этого не произошло бы...

специально для McMCC

> У касперского обновления каждый день, а clamav раз в месяц, а то и
> реже выходит... Вот и думай, что ставить. Не, может конечно у меня в
> дистрибутиве люди тормозят жутко, но бывает несколько месяцев проходит
> от анонса апдейта clamav до следующего.

вопрос на троечку - апдейт чего имеется в виду в отквоченном ? самого кламава или его баз ?

наводящий вопрос - с каких пор базы кламава обновляются через обновления дистрибутива, а не напрямую с сайта производителя ?

> И если уж чему место на почтовом сервере так это явно не касперу - нехватало еще чтоб он корпоративный почтовик раком поставил а clamav работает на пятерочку и не жужжит...

Уметь надо почтовики настраивать и почту рутить, тогда ничего раком вставать не будет. У меня три антивируса почту проверяют, в том числе и касперский. Даже если один или два из них отвалятся, то этого кроме меня и еще двух админов никто не заметит. К слову сказать ни кламав ни касперский за последний год ни разу не падали. Кламав стоит первым в цепочке и он неплохо рубит 80% вирусов, касперский справляется со всем остальным, т.ч. тренду достался всего один (!) вирус за все время работы...

Кроме того кламав часто запаздывает с обновлениями. Бывало касперский уже пол дня отражает массовую вирусную рассылку, а обновление к кламаву появляется только на следующий день. Так что и речи быть не может о том, чтобы доверить кламаву в одиночку проверять весь SMTP трафик.

>У касперского обновления каждый день, а clamav раз в месяц, а то и реже выходит...

Беспардонная ложь!

Погляди на скорость реагирования для примера на Sober.P

http://www.pcwelt.de/news/sicherheit/111012/index2.html

Clamav на первом месте

>наводящий вопрос - с каких пор базы кламава обновляются через >обновления дистрибутива, а не напрямую с сайта производителя ?

Вы clamav видели? Нет? Вопросов больше не имею.... Наводящий
ответ, на всякий случай, freshclam...

mcmcc - слушай - прочитай тред еще раз и внимательно

мужик много выше путает апдейт кламава с апдейтом баз - ошибочно принимая анонсы кламава за обновления баз. я ему на это указываю , какого **** ты встрял ?

>У касперского обновления каждый день, а clamav раз в месяц, а то и реже выходит... Вот и думай, что ставить. Не, может конечно у меня в дистрибутиве люди тормозят жутко, но бывает несколько месяцев проходит от анонса апдейта clamav до следующего.

Ты болеешь, что ли? Обновления баз выходят несколько раз в день. Сама оболочка, да, обновляется не так часто. А нафига?

> Так дайте админу достойную зарплату и никуда он не удет, а будет дальше работать на Вас!!!

По-этому на западе большинство крупных контор переходит на внешний саппорт. Имеет смысл держать своих спецов только если в конторе от 20 до 300 компьютеров. Если меньше, то гораздо выгоднее платить приходящему толковому админу. Если больше 300 компьютеров, то выгоднее нанять контору, которая профессионально занимается тех. поддержкой. Они сами определят сколько откомандировать сотрудников в вашу контору и вы платите за бессбойную работу N-го количества компьютеров, а не зарплату своим бесдельникам, которые играют весь день в counter-strike на работе... Например, если будет крупный сбой в работе сети, то с внешней фирмы можно затребовать неустойку, а чего вы возьмете со своих сотрудников? Максимум выговор или увольнение...

>Молодой человек, вы категорически заблуждаетесь .... maps.google.com и Earth.google.com помогут вам разубедится ....

уважаемый, вы привели пример жуткого пропиетарного решения. earth это закрытый, платный софт. а все, что выложено free, это лишь для привлечения лемингов.

>> вгрызался в чистые файлы >> Ужос нах.

Спилберг отдыхает, Стив Кинг в шоке! )))

>зашли через дремучую версию mod_ssl к апачу,

Это червь

>ядро было тоже старое -- получили рута через него (ptrace24). посадили помимо всего прочего еще и руткит. но вирус там тоже был -- вгрызался в чистые файлы ls, ps, netstat, rpm еще какие-то.

И как же назывался этот вирус?

>причем ориентирован был видимо именно на redhat (ну или на rpm-based дистрибуцию) потому что во-первых знал что надо заразить rpm во-вторых фейкал его вывод

А почему у тебя на сервере rpm лежали?

>вопрос на троечку - апдейт чего имеется в виду в отквоченном ? самого кламава или его баз ?

Читай тред, дважды уже ответили - баз. Сам кламав, когда появляется новая его версия, может тоже сказануть об этом, но лучше пользоваться каким-нить apt'ом или yum'ом, а не лепить костыли.

Или может у тебя касперский сам себя ставит, качает и обновляет незаметно для тебя?

>наводящий вопрос - с каких пор базы кламава обновляются через обновления дистрибутива, а не напрямую с сайта производителя ?

А где такая чушь была написана?

>мужик много выше путает апдейт кламава с апдейтом баз - ошибочно
>принимая анонсы кламава за обновления баз. я ему на это указываю ,
>какого **** ты встрял ?

Извини.. Я подумал, что это тот мужик:), обознался...

> А где такая чушь была написана?

не буду повторяться - читай выше. и внимательней. анонимус - это не одно и то же лицо.

Самоделкин к нему патч прикручивал для проверки пропроетарных архивов.

Льет воду на мельницу мировой буржуазии.

>>зашли через дремучую версию mod_ssl к апачу,
>Это червь

видимо я плохо об"яснил. червь использовался для того чтобы пронести вирусяку на сервер. в итоге в одной маленьком линуксе сидели 1) червь 2) руткит 3) вирус

> И как же назывался этот вирус?

а вот этого не знаю. как мне было узнать? у меня на линуксах нет антивирусного ПО (да и тележка к слову была не моя)

> А почему у тебя на сервере rpm лежали?

заразили /bin/rpm

$ file /bin/rpm
/bin/rpm: ELF 32-bit LSB executable, Intel 80386, version 1, statically linked, stripped

вот его и заразили вместе с /bin/ls, /bin/ps, /bin/netstat

Когда вы покупаете коммерческий софт, вы платите прежде всего за гарантии, которые вам дает производитель. Т.е. если чтото будет работать не так, вы имеете полное право требовать от него это исправить. Если вам такие гарантии не нужны, и вы согласны пользоваться софтом на свой страх и риск, то добро пожаловать в наш лагерь =)

То что порой бесплатный софт работает стабильнее платного - отдельный разговор...

Кстати про Kaspersky и DrWeb. У меня один знакомый работал в ДрВебе, так он там занимался тем, что сканил файлы КАСПЕРСКИМ, и если тот находил вирь, тогда уже он расковыривал файл и добавлял сигнатуру в базу Веба. Так что как антивирь Касперский имхо рулит, другое дело что под Линукс он не нужен=)

>а чего вы возьмете со своих сотрудников?

Мы их продадим, на опыты.

>вот его и заразили вместе с /bin/ls, /bin/ps, /bin/netstat

Их не заразили, а подменили, что бы вы не видели процессов и файлов,
а так же конектов... Обычный руткит с заметанием следов, читал про такой,
действительно, мог пролазить в очень старых системах через ssh, ftp
и апач. Но это не вирус.....

>> Льет воду на мельницу мировой буржуазии.

Во, во! Исчо и мукой приторговывает! )))

заразили. ЗАРАЗИЛИ

перетащил к себе на машину один (ОДИН) файл /bin/ls

и запустил

от рута :)

в общем наустанавливался я в тот день линуксов

>аразили. ЗАРАЗИЛИ
>еретащил к себе на машину один (ОДИН) файл /bin/ls
> запустил от рута :)
> общем наустанавливался я в тот день линуксов

Проще надо быть... rm -rf /

>> в общем наустанавливался я в тот день линуксов

По статистике на мой хост в сутки от 1 до 50 атак молодых хакеров ))) И баранам невдомек, что рута получить впрямую во фри невозможно )))

> Когда вы покупаете коммерческий софт, вы платите прежде всего за гарантии, которые вам дает производитель. А вот с этим не согласен категорически. В любой софтине прочитайте EULA - в каждом сказано что производитель никому ничего не гарантирует.

Если нужны гарантии, то нужно заключать договор с системным интегратором, который может вам эти гарантии предоставить. Вот тогда вам действительно пофиг будет проприетарный софт или открытый. А вот системный интегратор сам будет учитывать риски от использования того или иного софта

Ага, вот бы они регистрировались... ;)

не нарушение, когда ты пользуешься рабочей почтой. не хочешь чтобы твои письма попадали в архив - увольняйся.

> молодых хакеров )))

ну-ну, хакеров :) это боты баранов отлавливают

Можно я по делу скажу?

Я даже не попытаюсь смотреть чего там эти труженики наваяли пока не увижу полноценной документации на продукт. Лабуду вида "в соответствии с интернет-стандартами IETF RFC" они могут засунуть в callback (ну вы поняли куда, да?) своим маркетоидам. В первую очередь нужно смотреть документацию, во вторую - читать исходники и лишь в третью можно тратить (или не тратить) время на то, чтобы менять почтовую систему.

Спасибо за внимание.

> А почему так категорично? Это настолько плохо?

А ты считаешь, что нарушение целостности письма при его передаче - хорошо?

а что на каспере свет клином сошелся?
а какже NOD32?

ссылку на линуксовый нов32 ?
или там он называется nodELF ;-)

http://nod32.com/download/download.htm
А причем тут 32 до ELF?

Мыло-сервер http://nod32.com/products/lms.htm
Файло-помойка http://nod32.com/products/lfs.htm

> Когда вы покупаете коммерческий софт, вы платите прежде всего за гарантии, которые вам дает производитель.

Если вы никогда не читали лицензионных соглашений, то спешу сообщить, что производитель никаких гарантий не дает.

> Т.е. если чтото будет работать не так, вы имеете полное право требовать от него это исправить.

Не. Такого права у вас нет. Вы можете принести ему денег (за техподдержку) и попросить исправить. А он может делать, что ему вздумается.

> А ты считаешь, что нарушение целостности письма при его передаче - хорошо?

Это требование руководства во многих компаниях, чтобы к каждому исходящему письму добавлялся дисклеймер с бредом типа "Немедленно уничтожьте данное письмо если оно попало к вам по ошибке. Потом пропустите его через шредер и сожгите." Никакие доводы на руководство не действуют - они хотят, чтобы это это сообщение было в каждом письме. У касперского такой фичи не было, поэтому пришлось делать самим средствами постфикса. Не нравится фича - не пользуйся, тебя заставляет кто-то что ли? Кому-то это может действительно понадобится, тем более что написать грамотный фильтр для этого совсем не тривиальная задача.

>Когда вы покупаете коммерческий софт, вы платите прежде всего за гарантии, которые вам дает производитель. Т.е. если чтото будет работать не так, вы имеете полное право требовать от него это исправить.

И что? Вас таки не посылают в п* с такими требованиями? Читайте дисклаймеры тщательнЕе...

P.S. Приходил мальчик-зайчик с касторским "для Юникс-сервера". После просмотра инструкции по установке и стартапных скриптов оного -- был послан обратно с красивой коробочкой в зубах...

>У касперского обновления каждый день, а clamav раз в месяц, а то и реже выходит...

Ты что идиот? Если не знаешь так уж лучше и не звизди. А то скажут, как в лужу пёрднут. Ты где такую фигню слышал?

> В первую очередь нужно смотреть документацию

Смотри. Лежит рядом с продуктом: ftp://ftp.kaspersky.com/beta/ks_smtpgw/docs/

(первая тут реплика по делу :-)

NOD32 сосет по detection-rate. У них неплохая эвристика, но базы слабые - много вирусов пропускает. Есть, например, сравнение на av-comparatives.org

>У касперского обновления каждый день, а clamav раз в месяц, а то и реже выходит...

Молодой человек, прекратите курить эту дрянь!

> P.S. Приходил мальчик-зайчик с касторским "для Юникс-сервера". После просмотра инструкции по установке и стартапных скриптов оного -- был послан обратно с красивой коробочкой в зубах...

Что мальчик страшный или скрипты слишком сложные? Кстати расскажи как коробка с антивирусом для юникс сервера выглядит. Сколько лет пользуюсь этим антивирусом и ни разу не видел... В качестве альтернативы сходи к доктору - может от галюцинаций вылечит :)

>Когда вы покупаете коммерческий софт, вы платите прежде всего за гарантии, которые вам дает производитель. Т.е. если чтото будет работать не так, вы имеете полное право требовать от него это исправить.

Молодой человек, почитайте лицензионное соглашение к той же windows и раскажите потом тут, какие гарантии вы там нашли.

P.S. Прекращайте курить эту дрянь!