31 ответов в этой теме

[Роман Владимирович]

Письмецо ниже

 Received: from smtp.x.x.ru ([x.x.x.x] helo=fsnode3.x.x.ru)
 	by smtp.x.x.ru with esmtps (TLSv1:AES256-SHA:256)
 	(Exim 4.63)
 	&#40;envelope-from <drweb@fsnode3.x.x.ru>&#41;
 	id 1PfitP-0001mN-TJ
 	for ost@pes.spb.ru; Thu, 20 Jan 2011 04&#58;00&#58;51 +0300
 Received&#58; from fsnode3.x.x.ru &#40;localhost.localdomain &#91;127.0.0.1&#93;&#41;
 	by fsnode3.x.x.ru &#40;8.13.8/8.13.8&#41; with ESMTP id p0K10pUM006840
 	for <gods@x.x.ru>; Thu, 20 Jan 2011 04&#58;00&#58;51 +0300
 Received&#58; &#40;from drweb@localhost&#41;
 	by fsnode3.x.x.ru &#40;8.13.8/8.13.8/Submit&#41; id p0K10pF1006826;
 	Thu, 20 Jan 2011 04&#58;00&#58;51 +0300
 Date&#58; Thu, 20 Jan 2011 04&#58;00&#58;51 +0300
 Message-Id&#58; <201101200100.p0K10pF1006826@fsnode3.x.x.ru>
 From&#58; root@fsnode3.x.x.ru &#40;Cron Daemon&#41;
 To&#58; gods@pes.spb.ru
 Subject&#58; Cron <drweb@fsnode3> /opt/drweb/update.pl
 Content-Type&#58; text/plain; charset=UTF-8
 Auto-Submitted&#58; auto-generated
 X-Cron-Env&#58; <MAILTO=gods@x.x.ru>
 X-Cron-Env&#58; <SHELL=/bin/sh>
 X-Cron-Env&#58; <HOME=/var/drweb>
 X-Cron-Env&#58; <PATH=/usr/bin&#58;/bin>
 X-Cron-Env&#58; <LOGNAME=drweb>
 X-Cron-Env&#58; <USER=drweb>
 
 Dr.Web &#40;R&#41; update details&#58;
 Update server&#58; http&#58;//update.us.drweb.com/unix/500
 Update has begun at Thu Jan 20 04&#58;00&#58;01 2011
 Update has finished at Thu Jan 20 04&#58;00&#58;51 2011
 
 Following files has been updated&#58;
 	/var/drweb/bases/drwtoday.vdb
 	/var/drweb/bases/timestamp
 	/var/drweb/updates/timestamp

[Anton Ivanov]

а логи drwebd и maild можно посмотреть?

[userr]

Роман Владимирович
и какой же детект?

сохраняете такое письмо в файл со всей техн. информацией, смотрите есть ли детект файла на http://vms.drweb.com/online/ .

если есть - пишите в вирлаб, http://vms.drweb.com/sendvirus
если нет - пишите сюда, будем дальше смотреть

[Роман Владимирович]

а логи drwebd и maild можно посмотреть?

в drwebd.log ничего интересного

MAILD

Jan 20 04&#58;00&#58;52 fsnode3 drweb-receiver.real&#58; &#91;1696446784&#93; receiver INFO 00178A28/1PfitP-0001mN-TJ success receive mail &#91;from&#58; <drweb@fsnode3.x.x.ru>; to&#58;<gods@x.x.ru>&#93;. Send to drweb-maild..
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ Attach msg to plugin vaderetro...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; vaderetro INFO 00178A28/1PfitP-0001mN-TJ SpamState = 0; SpamScore = 10; Version=Vade Retro 01.310.19 AV+AS Profile&#58; <none>; Bailout&#58; N/A;
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ Msg was accepted by plugin vaderetro; time=9 ms
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ Attach msg to plugin drweb...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; drweb.ipc ERROR 00178A28/1PfitP-0001mN-TJ error for address&#40;es&#41; &#91;local&#58;/var/drweb/run/.daemon, inet&#58;3000@127.0.0.1&#93;&#58; Socket&#58;&#58;IsReady for connection &#40;fd->23, local->local&#58;, server->local&#58;/var/drweb/run/.daemon&#41;- closed
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; drweb WARN 00178A28/1PfitP-0001mN-TJ Failed to send request to pid&#58;/var/drweb/run/drwebd.pid server
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; drweb ERROR 00178A28/1PfitP-0001mN-TJ processing msg error &#58;&#91;Can&#96;t transfer request to any drwebd server&#93; -> use ProcessingErrors
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ quarantine&#58; success save msg to /var/drweb/infected/def/drweb/8/00178A28.10.maild.hvlAyG
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ send notification error for msg /var/drweb/msgs/in/8/00178A28 ...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-notifier.real&#58; &#91;1117968704&#93; notifier INFO  start processing msg&#58; &#91;from&#58; <drweb@fsnode3.x.x.ru>; to&#58;<gods@x.x.ru>&#93;
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; drweb INFO 00178A28/1PfitP-0001mN-TJ processing error for 178a28, apply&#58; &#91;reject, quarantine, notify&#93;
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ plugin drweb block msg; time=55 ms
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ msg is rejected
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1149819200&#93; maild INFO 00178A28/1PfitP-0001mN-TJ send notification dsn for msg /var/drweb/msgs/in/8/00178A28 ...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-notifier.real&#58; &#91;1117968704&#93; notifier INFO  start processing msg&#58; &#91;from&#58; <drweb@fsnode3.x.x.ru>; to&#58;<gods@x.x.ru>&#93;
Jan 20 04&#58;00&#58;52 fsnode3 drweb-notifier.real&#58; &#91;1117968704&#93; notifier.parser INFO  select template dsn&#58;dsn for instant
Jan 20 04&#58;00&#58;52 fsnode3 drweb-notifier.real&#58; &#91;1117968704&#93; notifier INFO  success save new msg &#91;from&#58; <>; to&#58;<drweb@fsnode3.x.x.ru>; size=2061&#93; to disk. Send it...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-sender.real&#58; &#91;1473182016&#93; sender INFO notifier.FEyVOg start processing msg...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-sender.real&#58; &#91;1473182016&#93; sender.queue INFO notifier.FEyVOg put msg &#91;from&#58; <>; to&#58;<drweb@fsnode3.x.x.ru>&#93; to queue for processing after 0 sec
Jan 20 04&#58;00&#58;52 fsnode3 drweb-notifier.real&#58; &#91;1117968704&#93; notifier INFO  success send request for send msg &#91;from&#58; <>; to&#58;<drweb@fsnode3.x.x.ru>; size=2061&#93;
Jan 20 04&#58;00&#58;52 fsnode3 drweb-sender.real&#58; &#91;1168976192&#93; sender INFO absOJm6fk get msg &#91;from&#58; <>; to&#58;<drweb@fsnode3.x.x.ru>&#93; from queue for processing...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-receiver.real&#58; &#91;1696446784&#93; receiver INFO 00178A28/1PfitP-0001mN-TJ drweb-maild return discard action. score=10
Jan 20 04&#58;00&#58;52 fsnode3 drweb-sender.real&#58; &#91;1168976192&#93; sender.pipe INFO absOJm6fk success send msg &#91;from&#58; <>; to&#58;<drweb@fsnode3.x.x.ru>; size=2061&#93;
Jan 20 04&#58;00&#58;52 fsnode3 drweb-receiver.real&#58; &#91;46912527599936&#93; receiver INFO 00178A29/1PfitQ-0001mV-9t success receive mail &#91;from&#58; <>; to&#58;<drweb@fsnode3.x.x.ru>&#93;. Send to drweb-maild..
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1160309056&#93; maild INFO 00178A29/1PfitQ-0001mV-9t Attach msg to plugin vaderetro...
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1160309056&#93; vaderetro INFO 00178A29/1PfitQ-0001mV-9t SpamState = 0; SpamScore = -5000; Version=Vade Retro 01.310.19 AV+AS Profile&#58; <none>; Bailout&#58; N/A;
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1160309056&#93; maild INFO 00178A29/1PfitQ-0001mV-9t Msg was accepted by plugin vaderetro; time=1 ms
Jan 20 04&#58;00&#58;52 fsnode3 drweb-maild.real&#58; &#91;1160309056&#93; maild INFO 00178A29/1PfitQ-0001mV-9t Attach msg to plugin drweb...

[Роман Владимирович]

Роман Владимирович
и какой же детект?

Это вопрос к вебминовкому модулю дрвеба

From:				drweb@fsnode3.x.x.ru				
				 To:				gods@x.x.ru				
				 Date:				20/01/2011 04:00				
				 Status:				[img]https://fsnode3.x.x.ru:10000/drweb-maild/images/blank.png[/img]Infected				
				 Subject&#58;				10 Cron <drweb@fsnode3> /opt/drweb/update.pl										Dr.Web &#40;R&#41; update details&#58;
 Update server&#58; http&#58;//update.us.drweb.com/unix/500
 Update has begun at Thu Jan 20 04&#58;00&#58;01 2011
 Update has finished at Thu Jan 20 04&#58;00&#58;51 2011
 
 Following files has been updated&#58;
	 /var/drweb/bases/drwtoday.vdb
	 /var/drweb/bases/timestamp
	 /var/drweb/updates/timestamp

Сообщение было изменено Роман Владимирович: 20 Январь 2011 - 16:00

[userr]

Роман Владимирович
ммм... если нечто определяется как Infected, то в логах должна быть запись вида <smth> infected with virus.name

[HHH]

Jan 20 04:00:52 fsnode3 drweb-maild.real: [1149819200] drweb WARN 00178A28/1PfitP-0001mN-TJ Failed to send request to pid:/var/drweb/run/drwebd.pid server
Jan 20 04:00:52 fsnode3 drweb-maild.real: [1149819200] drweb ERROR 00178A28/1PfitP-0001mN-TJ processing msg error :[Can`t transfer request to any drwebd server] -> use ProcessingErrors
Jan 20 04:00:52 fsnode3 drweb-maild.real: [1149819200] maild INFO 00178A28/1PfitP-0001mN-TJ quarantine: success save msg to /var/drweb/infected/def/drweb/8/00178A28.10.maild.hvlAyG
Jan 20 04:00:52 fsnode3 drweb-maild.real: [1149819200] maild INFO 00178A28/1PfitP-0001mN-TJ send notification error for msg /var/drweb/msgs/in/8/00178A28 ...

Какое действие стоит для непроверенных писем? Карантин?
Вот оно и отправилось в карантин. Это же не значит, что его infected определили.

[Роман Владимирович]

Какое действие стоит для непроверенных писем? Карантин?
Вот оно и отправилось в карантин. Это же не значит, что его infected определили.

Это я знаю, этого не знают разработчики модуля для вебмина.

[pig]

Хрустальный шар в ремонте, поэтому изложите подробнее, будь ласка. Чтобы даже самый замшелый программист понял.

[Anton Ivanov]

drwebd вообще работает?
что выводит
drwebdc -f /var/drweb/infected/def/drweb/8/00178A28.10.maild.hvlAyG
?

[Роман Владимирович]

Хрустальный шар в ремонте, поэтому изложите подробнее, будь ласка. Чтобы даже самый замшелый программист понял.

Что сие может значить? Как это побороть?

[Can`t transfer request to any drwebd server] -> use ProcessingErrors

[Роман Владимирович]

drwebd вообще работает?
что выводит
drwebdc -f /var/drweb/infected/def/drweb/8/00178A28.10.maild.hvlAyG
?

Работает. Не нравятся именно эти сообщения.

[root@fsnode3 mail]# drwebdc -f /var/drweb/infected/def/drweb/8/00178A28.10.maild.hvlAyG
 Results: daemon return code 0x100000 (after scanning/curing composite object is clean)

Сообщение было изменено Роман Владимирович: 20 Январь 2011 - 16:36

[Anton Ivanov]

так судя по логу именно это сообщение и было сохранено в карантин под этим именем.

можно включить debug лог maild и еще раз послать проблемное сообщение и потом прислать логи его обработки и само оригинальное сообщение?

[Роман Владимирович]

так судя по логу именно это сообщение и было сохранено в карантин под этим именем.

можно включить debug лог maild и еще раз послать проблемное сообщение и потом прислать логи его обработки и само оригинальное сообщение?

об чем и речь.
Сейчас эти сообщения доставляются без проблем. Добиться такогоже поведения maild не получается.
Оставил дебаг включенным, как отловлю подобную ситуацию - отпишусь.

А вообще не хорошо, что вебминовский модуль показывает такие сообщения (помещенные в карантин после processing error) как INFECTED.

[Роман Владимирович]

Отловилось. Такое же письмо от апдейтера, запускаемого кроном.

Received: from smtp.x.x.x.ru ([10.200.4.31] helo=fsnode3.x.x.x.ru)
	by smtp.x.x.x.ru with esmtps (TLSv1:AES256-SHA:256)
	(Exim 4.63)
	&#40;envelope-from <drweb@fsnode3.x.x.x.ru>&#41;
	id 1PgCcA-0007Nu-8Y
	for gods@x.x.ru; Fri, 21 Jan 2011 11&#58;45&#58;02 +0300
Received&#58; from fsnode3.x.x.x.ru &#40;localhost.localdomain &#91;127.0.0.1&#93;&#41;
	by fsnode3.x.x.x.ru &#40;8.13.8/8.13.8&#41; with ESMTP id p0L8j2hL028387
	for <gods@x.x.ru>; Fri, 21 Jan 2011 11&#58;45&#58;02 +0300
Received&#58; &#40;from drweb@localhost&#41;
	by fsnode3.x.x.x.ru &#40;8.13.8/8.13.8/Submit&#41; id p0L8j1ww028381;
	Fri, 21 Jan 2011 11&#58;45&#58;01 +0300
Date&#58; Fri, 21 Jan 2011 11&#58;45&#58;01 +0300
Message-Id&#58; <201101210845.p0L8j1ww028381@fsnode3.x.x.x.ru>
From&#58; root@fsnode3.x.x.x.ru &#40;Cron Daemon&#41;
To&#58; gods@x.x.ru
Subject&#58; Cron <drweb@fsnode3> /opt/drweb/update.pl
Content-Type&#58; text/plain; charset=UTF-8
Auto-Submitted&#58; auto-generated
X-Cron-Env&#58; <MAILTO=gods@x.x.ru>
X-Cron-Env&#58; <SHELL=/bin/sh>
X-Cron-Env&#58; <HOME=/var/drweb>
X-Cron-Env&#58; <PATH=/usr/bin&#58;/bin>
X-Cron-Env&#58; <LOGNAME=drweb>
X-Cron-Env&#58; <USER=drweb>

Dr.Web &#40;R&#41; update details&#58;
Update server&#58; http&#58;//update.msk6.drweb.com/unix/500
Update has begun at Fri Jan 21 11&#58;45&#58;01 2011
Update has finished at Fri Jan 21 11&#58;45&#58;01 2011

Following files has been updated&#58;
	/var/drweb/bases/drwtoday.vdb
	/var/drweb/bases/dwntoday.vdb
	/var/drweb/bases/dwrtoday.vdb
	/var/drweb/bases/timestamp
	/var/drweb/updates/timestamp

Прикрепленные файлы:

•  maild.log   46,67К   40 Скачано раз

[Anton Ivanov]

А вообще не хорошо, что вебминовский модуль показывает такие сообщения (помещенные в карантин после processing error) как INFECTED.

мы будем это исправлять. не уверен, что в ближайшей версии, но в одной из точно.

по поводу проблемы. пришлите пожалуйста платформу на которой работает maild. конфигурационный файл maild_* и plugin_drweb.conf. я передам эту информацию в тестовый отдел.

пока попробуйте в
Address настройке
plugin_drweb.conf
установить значение

local:/var/drweb/run/.daemon, inet:3000@127.0.0.1

[Роман Владимирович]

После установки Address local:/var/drweb/run/.daemon, inet:3000@127.0.0.1

[root@fsnode3 drweb]# service drweb-monitor check
Starting Dr.Web Monitor in --check-all mode...
Fri Jan 21 17:04:22 2011 [47647552640816] monitor WARN parameter "/Notifier/AdminMail" from maild configuration not defined, use default value "root@localhost"
checking "drweb-agent" component: OK
checking "drweb-notifier" component: OK
checking "drweb-sender" component: OK
checking "drweb-maild" component:
	Fri Jan 21 17:04:24 2011 [47953099264416] maild ERROR error in setting parser: ConfigClient::ParseResponse - invalid response code
	Fri Jan 21 17:04:24 2011 [47953099264416] maild ERROR error in reading conf for 'Antivirus' from agent local:/var/drweb/ipc/.agent.tmp
checking "drweb-receiver" component: OK
Options OK

[Роман Владимирович]

CentOS 5.5 x86_64

Прикрепленные файлы:

•  maild_exim.conf.txt   28,84К   34 Скачано раз
•  plugin_drweb.conf.txt   6,5К   39 Скачано раз

[Anton Ivanov]

приттачте файл с конфигурацией плагина

[Anton Ivanov]

нужен файл после модификации. plugin_drweb.conf.txt - это как я понимаю не то.