30 ответов в этой теме

[Ekvental]

Добрый день.  С недавних пор в корпсети в мониторинге сервера Dr.Web стали появляться различные типы неопознанных угроз со сгенерированным  названием наподобие z06flx.xyz или  webmarket.pw:443, при этом движок антивируса определяет их как Known infection source со статусом действия "Сообщено пользователю". Такие детекции проявляются в большом количестве с недавних пор. Что это за зверь такой, может кто-нибудь знает. Версия серверной платформы 13.0

[Kirill Polubelov]

Это SpIDer Gate начал слать статистику. По двух категориям: нерекомендуемые сайт и сайты, являющиеся источником распространения угроз.

Отключается (отправка статистики) пока только через реестр.

Стоит оценить, откуда и почему идут такие уведомления в большом кол-ве. Может это свидетельствует о проблемах с ПК.

Сообщение было изменено Kirill Polubelov: 03 Октябрь 2022 - 14:17

[Ekvental]

Это SpIDer Gate начал слать статистику. По двух категориям: нерекомендуемые сайт и сайты, являющиеся источником распространения угроз.

Отключается (отправка статистики) пока только через реестр.

Стоит оценить, откуда и почему идут такие уведомления в большом кол-ве. Может это свидетельствует о проблемах с ПК.

Речь идёт, как я полагаю, о проблемах посещения или фонового обращения к этим самым нерекомендованным ресурсам. Но дело в том, что в поле пути к файлам у таких инцидентов отображается только лишь их странное имя. Видимо, единственный выход - это мониторинг всего потока обращений на хостах...
Спасибо.

[Kirill Polubelov]

"z06flx.xyz или  webmarket.pw:443" -- это не пути к файлам, это адреса сайтов, к которым происходит обращение. В последнем случае, вместе с портом.

[Ivan Korolev]

У вас случаем корпоративный сайт не на битриксе?

[Ekvental]

У вас случаем корпоративный сайт не на битриксе?

Насколько мне известно - нет.

[teslo]

столкнулись с ровно той же проблемой, удалось найти решение?

Версия Сервера Dr.Web

13.00.0 

[Konstantin Yudin]

то что у вас из сети ходят на малварные сайты, это не наша а ваша проблема

[Александр Б.]

Такое же начало появлятся в статистике угроз:

 

Spider Gate нигде не установлен

 

Вопрос: откуда взялись его базы на станции пользователей?

 

 

Устанавливаемые компоненты:

[Afalin]

Это офисный контроль. Баг, что при этом написано про гейт, известен.

[Konstantin Yudin]

но в офисном контроле нет баз с малварью

[Afalin]

Да и угрозы "источник распространения вирусов" не бывает, что уж там. Особенно когда это приходит на русском (или любом другом) языке с агента.

Кривой фиче кривой полёт.

Сообщение было изменено Afalin: 14 Октябрь 2022 - 16:10

[Zergiuz]

то что у вас из сети ходят на малварные сайты, это не наша а ваша проблема

Красавчик, а для чего тогда антивирь с фишкой которая это просекает? Так добавьте информацию, каким приложением попытка подключения, вместо сообщено скажите где выставить запретить?

[maxic]

Zergiuz, вы серьезно через два года пытаетесь продолжить диалог?

[Zergiuz]

maxic, а почему бы и нет? Проблема всё равно не решена до сих пор.

Версия Сервера Dr.Web 13.00.1

[B.Chugunov]

Так добавьте информацию, каким приложением попытка подключения

А что Вам это даст? Наверняка какой-то браузер. Можно надежно посмотреть в логе dwnetfilter. Он же C:\ProgramData\Doctor Web\Logs\netfilter.log со станции. 
С большой вероятностью открыта какая-то вкладка на постоянной основе или пользователь ходит на какой-то ресурс, где источником части контента являются указанные ресурсы. Но бывает конечно и экзотика. 

вместо сообщено скажите где выставить запретить?

То, что "Сообщено" не значит, что переход был разрешен. По факту на самой станции 99%, что обращение к ресурсу было заблокировано. Если конечно такого ресурса нет в исключениях. А "Сообщено" Вам, как администратору, что была попытку перейти вот на такой ресурс, который является источником распространения вирусов. Цель - обратить внимание администратора, что с указанной станции идут обращения к вредоносным ресурсам. Дальше уже нужно анализировать, кто, когда, зачем и при каких обстоятельствах туда заходит. 

[Afalin]

На самом деле, "сообщено" вместо реального "заблокировано" там по совсем другой причине.

Тогда бы всех завалило нотификациями, а не только бестолковыми записями в "угрозах".

[Zergiuz]

ответ ТП по этой теме:

>по каким правилам блокируются сайты

На основании комплексной оценки нашили аналитиками и добавления ресурса в соответствующую категорию.

>второй вопрос как убрать из статистики угроз эти блокировки

только отфильтровать в таблице

>третий собственно при желании где посмотреть статистику блокировок этих сайтов, если убрать из этого отчёта

Антивирусная сеть > %группа станция% > Угрозы

отфильтровать по компоненту Spider Gate или типу угрозы

В следующей версии разработчики собираются переработать механизм формирования статистики по заблокированным ресурсам.

 

зы: текущий вывод блокировки сайтов в угрозах меня лично не устраивает, к тому же не вижу емейл оповещений по этим угрозам. Угроза в этой ситуации такая, зашёл пользователь на сайт где то кликнул или на странице стоит скрипт или что то еще, в общем дрвеб блокирует переход (трафик) к запрещенном ресурсу, это всё хорошо, но это должно быть в отдельной статистике, угроза угрозе рознь.

Сообщение было изменено Zergiuz: 26 Сентябрь 2024 - 16:14

[Afalin]

к тому же не вижу емейл оповещений по этим угрозам.

И хорошо, что не видите.

Сам по себе факт обращения к такому ресурсу не является проблемой. Соответственно, получать письмо на каждое такое обращение – можно и утонуть.

[Zergiuz]

Сам по себе факт обращения к такому ресурсу не является проблемой.

Но в разделе угрозы это спамится по полной программе.

 

 

 

И хорошо, что не видите.

 

Возможность включить оповещение можно и сделать, у разных организаций разные контуры безопасности. Я использую ФСТЭК версию Сервера Dr.Web 13.00.1

Сообщение было изменено Zergiuz: 27 Сентябрь 2024 - 08:59