Перейти к содержимому


Фото
- - - - -

Не срабатывает исключение для сканера

исключения сканер

  • Please log in to reply
5 ответов в этой теме

#1 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 14 Июль 2019 - 15:55

Версия Сервера Dr.Web 11.00.2 (27-02-2019 03:00:00)
Операционная система Linux 4.15.18-041518-generic x86_64; Ubuntu 16.04.6 LTS; glibc 2.23
 
На одном из серверов Windows Server 2012 R2 используется утилита RDP Wrapper (https://github.com/stascorp/rdpwrap)
 
Сама она с открытым исходным кодом и принцип её работы указан на стартовой странице проекта.
 
Проблема в том, что сканер не может игнорировать папки/файлы, в которой находится эта программа.
 
Сама она детектится так:
 
Станция: SERVER@drweb-es (IP-адрес: ssl://172.18.13.20:49216)
Время: 2019/07/14 07:25:08.670
Источник: Dr.Web Agent Scanner for Windows (NT AUTHORITY\СИСТЕМА)
Объект: C:\wrapper\RDPWInst.exe\data005 (неизвестно)
Тип: потенциально опасная программа
Угроза: Program.Rdpwrap.4
Действие: перемещен в карантин
 
Еще непонятно, кто возбуждается. В письме написан источник: Dr.Web Agent Scanner for Windows
 
Настройки исключений делаются для SpIDer Guard для серверов и Сканер.
 
В настройках конкретного сервера (компонент сканер) указано игнорирование потенциально опасных программ, более того выставлены исключения по пути и расширению файлов:
kZvqvyc.png
 
 

Но каждый раз после загрузки приходится доставать файлы из карантина.

 

Что я делаю не так?

 


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 15 Июль 2019 - 01:54

Может, у вас сканирование по расписанию активно? Там задаются свои исключения.



#3 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 15 Июль 2019 - 14:26

Может, у вас сканирование по расписанию активно? Там задаются свои исключения.

 

оп-па. 

 

про то, что в расписании свою исключения - я даже не подозревал и думал это сканирование следует заданным правилам для групп.

 

а можно сделать возможность выбора правила поведения для планировщика? 


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#4 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 15 Июль 2019 - 23:55

Александр Б., эээ... можно отредактировать задание... или вовсе отключить. Лично я не вижу смысла в стартовом сканировании, и очень давно. Наборов правил - нет, но настройки задания можно экспортнуть в файл.



#5 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 16 Июль 2019 - 00:26

Александр Б., эээ... можно отредактировать задание... или вовсе отключить. Лично я не вижу смысла в стартовом сканировании, и очень давно. Наборов правил - нет, но настройки задания можно экспортнуть в файл.

 

так не стартовое сканирование стоит, а ежеднедельное (вечер вторника).

 

а обнаружение произошло в воскресение.

 

не могу понять, что послужило триггером.


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#6 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 16 Июль 2019 - 10:11

Александр Б., в уведомлениях о вылеченной угрозе обычно достаточно информации.

Мне обычно в письмах приходит вот такого вида:

 

Станция:   NX ()
Время:     2019/07/15 07:59:11.223
Источник:  SpIDer Guard for Windows workstations (NT AUTHORITY\СИСТЕМА:NT AUTHORITY\СИСТЕМА)
Объект:    "D:\share1\_zm\data\lena\downloads\color_lines_98-3396.exe" ()
Тип:       рекламная программа
Инфекция:  Adware.Ubar.10
Результат: перемещен



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых