31 ответов в этой теме

[sergeydev]

Установлен Др.Веб 11 (2021 года) с диска купленного и выполнена активация 30 дней (пробная).
Обновлен вирусные базы. И выполняется проверка работы сканера антивируса:
создание файла readme.eicar с содержимым: X5O!P%@AP[4
PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
далее выполняем контроль отлова вируса тестового:
tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile && drweb-ctl scan testfile && rm testfile

Выводится сообщение, что просканирован 1 файл и в ничего не найдено.
Хотя должно выводиться уведомление: EICAR Test File (NOT a Virus!)

ОС: Astra Linux 1.6 SE (Update 10)

Как это исправляется? Почему не отрабатывает тестовый вирус?

Заранее, спасибо!

[dmitrii.s]

sergeydev, добрый день.

А файл точно был создан с необходимым содержимым?

Что если выполнить в терминале следующие команды (создание файла и последующий просмотр содержимого):

tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile
cat testfile

Вы используете версию продукта 11.0? Можно ли попросить Вас прислать вывод:

/opt/drweb.com/bin/drweb-ctl -v

[sergeydev]

 

sergeydev, добрый день.

А файл точно был создан с необходимым содержимым?

Что если выполнить в терминале следующие команды (создание файла и последующий просмотр содержимого):

tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile
cat testfile

Вы используете версию продукта 11.0? Можно ли попросить Вас прислать вывод:

/opt/drweb.com/bin/drweb-ctl -v

drweb-ctl 11.1.0.190513132

[sergeydev]

 

sergeydev, добрый день.

А файл точно был создан с необходимым содержимым?

Что если выполнить в терминале следующие команды (создание файла и последующий просмотр содержимого):

tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile
cat testfile

Вы используете версию продукта 11.0? Можно ли попросить Вас прислать вывод:

/opt/drweb.com/bin/drweb-ctl -v

файл создал с вирусом по инструкции readmi.eicar

выполнил: tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile && drweb-ctl scan testfile && rm testfile

 

Вывод такой:

testfile - ok

Scanned objects: 1, scan errors: 0, threats found: 0

 

Не ругался...

[sergeydev]

данные ОС:

lsb_release -a

 

ID: Astra Linux SE 

Desciption: Astra Linux SE 1.6 (Smolensk)

Release: 1.6

 

Update 10

[dmitrii.s]

sergeydev,

файл создал с вирусом по инструкции readmi.eicar

выполнил: tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile && drweb-ctl scan testfile && rm testfile

 

Вывод такой:

testfile - ok

Scanned objects: 1, scan errors: 0, threats found: 0

 

Не ругался...

Поэтому и интересно, а попало ли в этот файл вообще содержимое из readme.eicar.

Предложу выполнить пошагово. Сначала создать файл и посмотреть содержимое.

Вот это должно помочь посмотреть:

tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile
cat testfile

[sergeydev]

 

sergeydev,

 

 

файл создал с вирусом по инструкции readmi.eicar

выполнил: tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile && drweb-ctl scan testfile && rm testfile

 

Вывод такой:

testfile - ok

Scanned objects: 1, scan errors: 0, threats found: 0

 

Не ругался...

Поэтому и интересно, а попало ли в этот файл вообще содержимое из readme.eicar.

Предложу выполнить пошагово. Сначала создать файл и посмотреть содержимое.

Вот это должно помочь посмотреть:

tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile
cat testfile

да, отрабатывает норм.

cat testfile:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

[dmitrii.s]

sergeydev, хм,

 

 

да, отрабатывает норм.

cat testfile:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Понял, содержимое есть.
Тогда можно попробовать просканировать, но сначала предложу перед сканированием установить debug-логирование:

sudo drweb-ctl cfset root.defaultloglevel debug
sudo drweb-ctl cfset root.log /tmp/log

А уже затем:

drweb-ctl scan testfile -d

Попрошу Вас после сканирования прислать вывод результатов сканирования, а также файл /tmp/log (его можно мне в личную переписку).

Сообщение было изменено dmitrii.s: 27 Декабрь 2022 - 15:40

[sergeydev]

sergeydev, хм,

 

 

да, отрабатывает норм.

cat testfile:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Понял, содержимое есть.
Тогда можно попробовать просканировать, но сначала предложу перед сканированием установить debug-логирование:

sudo drweb-ctl cfset root.defaultloglevel debug
sudo drweb-ctl cfset root.log /tmp/log

А уже затем:

drweb-ctl scan testfile -d

Попрошу Вас после сканирования прислать вывод результатов сканирования, а так же файл /tmp/log (его можно мне в личную переписку).

прикрепил лог

Прикрепленные файлы:

•  дрвеб.png   21,49К   0 Скачано раз
•  log   553,49К   4 Скачано раз

[dmitrii.s]

sergeydev, Спасибо за информацию.

Подскажите, пожалуйста, сканирование выполняется в сессии с нулевой мандатной меткой?

[dmitrii.s]

sergeydev, кроме этого, можно ли попросить Вас показать результат выполнения команды?

$ drweb-ctl base

 

[sergeydev]

sergeydev, Спасибо за информацию.

Подскажите, пожалуйста, сканирование выполняется в сессии с нулевой мандатной меткой?

да, метка 0, но уровень целостности 63 (высокий)

[sergeydev]

 

sergeydev, кроме этого, можно ли попросить Вас показать результат выполнения команды?

$ drweb-ctl base

Прикрепленные файлы:

•  33333.png   8,67К   1 Скачано раз

[dmitrii.s]

sergeydev, добрый день.

Можно ли попросить Вас выполнить команду:

drweb-ctl rawscan testfile 

и приложить полученный вывод сюда?

[dmitrii.s]

sergeydev, подскажите, пожалуйста, а вход в графическую сессию ОС обычный, без использования Astra Linux Directory?

Кроме того, могли бы Вы выполнить команду:

/opt/drweb.com/bin/zypper pa -i > /tmp/versions

и прислать файл /tmp/versions?
Хочется посмотреть на версии всех компонентов.
 

Сообщение было изменено dmitrii.s: 29 Декабрь 2022 - 10:48

[sergeydev]

sergeydev, добрый день.

Можно ли попросить Вас выполнить команду:

drweb-ctl rawscan testfile 

и приложить полученный вывод сюда?

Приложил файл с выводом tmp.txt

sergeydev, подскажите, пожалуйста, а вход в графическую сессию ОС обычный, без использования Astra Linux Directory?

Да, обычный с 0 меткой, 63 уровнем целостности и без ALD и других доменов

Прикрепленные файлы:

•  tmp.txt   18К   6 Скачано раз

[Igorn]

покажите, пожалуйста, вывод команд:

<имя run-пакета> --lsm

drweb-ctl ap

drweb-ctl cfsh --ch

ls -l testfile

[sergeydev]

 

покажите, пожалуйста, вывод команд:

<имя run-пакета> --lsm

drweb-ctl ap

drweb-ctl cfsh --ch

ls -l testfile

 

Прикрепленные файлы:

•  ap.txt   480байт   3 Скачано раз
•  cfsh.txt   131байт   3 Скачано раз
•  ls.txt   51байт   6 Скачано раз
•  lsm.txt   5,17К   6 Скачано раз

[dmitrii.s]

sergeydev, добрый день.

Замечено, что Вы следуя инструкции используете путь opt/drweb.com/share/doc/drweb-common/readme.eicar, хотя для Вашей версии актуален:
opt/drweb.com/share/doc/drweb-se/readme.eicar
Уточните, пожалуйста, по какой документации Вы создаётё файл?
Не был ли ранее установлен продукт версии 11.0?

Для Вашей версии продукта в каталоге opt/drweb.com/share/doc/drweb-common вообще не должно быть файла readme.eicar.
Но всё же имеет смысл попробовать ещё один вариант.
Для начала временно отключите SpIDer Guard, это можно сделать через gui приложения Dr.Web для Linux.
Далее, в рамках одной сессии в терминале создайте файл:

tail /opt/drweb.com/share/doc/drweb-se/readme.eicar | grep X5O > /tmp/eicar
ls -l /tmp/eicar
drweb-ctl scan /tmp/eicar
ls -l /tmp/eicar

Затем пришлите, пожалуйста, весь полученный вывод в результате выполнения данных команд.
Если ошибка необнаружения тестовой угрозы будет воспроизводится, могу лишь рекомендовать обратиться в техническую поддержку для более детального анализа.

Мы проверили работу продукта Вашей версии в операционной системе Astra Linux SE Smolensk Update 10, по описываемым Вами шагам и, - ошибку не удалось воспроизвести, детект тестовой угрозы происходит.
Для "истории":

$ tail /opt/drweb.com/share/doc/drweb-se/readme.eicar | grep X5O > testfile
$ drweb-ctl scan testfile
/home/vagrant/testfile - infected with EICAR Test File (NOT a Virus!)
Scanned objects: 1, scan errors: 0, threats found: 1, threats neutralized: 0.
Scanned 0.07 KB in 2.02 s with speed 0.03 KB/s.
$ drweb-ctl ba
Core engine: 7.00.35.05130
Virus base timestamp: 2019-May-13 15:40:31
Virus base fingerprint: D02CC5A5CFD5985B5DCB0835E06A09F3
Virus base records: 7660853
Last successful update: unknown

[sergeydev]

 

sergeydev, добрый день.

Замечено, что Вы следуя инструкции используете путь opt/drweb.com/share/doc/drweb-common/readme.eicar, хотя для Вашей версии актуален:
opt/drweb.com/share/doc/drweb-se/readme.eicar
Уточните, пожалуйста, по какой документации Вы создаётё файл?
Не был ли ранее установлен продукт версии 11.0?

Для Вашей версии продукта в каталоге opt/drweb.com/share/doc/drweb-common вообще не должно быть файла readme.eicar.
Но всё же имеет смысл попробовать ещё один вариант.
Для начала временно отключите SpIDer Guard, это можно сделать через gui приложения Dr.Web для Linux.
Далее, в рамках одной сессии в терминале создайте файл:

tail /opt/drweb.com/share/doc/drweb-se/readme.eicar | grep X5O > /tmp/eicar
ls -l /tmp/eicar
drweb-ctl scan /tmp/eicar
ls -l /tmp/eicar

Затем пришлите, пожалуйста, весь полученный вывод в результате выполнения данных команд.
Если ошибка необнаружения тестовой угрозы будет воспроизводится, могу лишь рекомендовать обратиться в техническую поддержку для более детального анализа.

Мы проверили работу продукта Вашей версии в операционной системе Astra Linux SE Smolensk Update 10, по описываемым Вами шагам и, - ошибку не удалось воспроизвести, детект тестовой угрозы происходит.
Для "истории":

$ tail /opt/drweb.com/share/doc/drweb-se/readme.eicar | grep X5O > testfile
$ drweb-ctl scan testfile
/home/vagrant/testfile - infected with EICAR Test File (NOT a Virus!)
Scanned objects: 1, scan errors: 0, threats found: 1, threats neutralized: 0.
Scanned 0.07 KB in 2.02 s with speed 0.03 KB/s.
$ drweb-ctl ba
Core engine: 7.00.35.05130
Virus base timestamp: 2019-May-13 15:40:31
Virus base fingerprint: D02CC5A5CFD5985B5DCB0835E06A09F3
Virus base records: 7660853
Last successful update: unknown

Вот... Результат такой же...

Может влиять то, что я это выполняю на виртуальной машине VMware?

Прикрепленные файлы:

•  777.png   13,41К   0 Скачано раз