Перейти к содержимому


Фото
- - - - -

Периодически прекращает ловить вирусы до перезапуска


  • Please log in to reply
35 ответов в этой теме

#1 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 30 Сентябрь 2019 - 10:40

Dr.Web Mail Security Suite (Антивирус) + Центр Управления + Антиспам

 

Alt Linux SPT 7.0.5 (x86_64)

 

Устанавливался из репозитория "rpm http://repo.drweb.com/drweb/altlinux11.1/x86_64 drweb"

 

Периодически прекращает ловить вирусы до перезапуска командой service drweb-configd restart

 

Как с этим бороться?



#2 Igorn

Igorn

    Advanced Member

  • Dr.Web Staff
  • 512 Сообщений:

Отправлено 30 Сентябрь 2019 - 11:38

Нужно больше  подробностей - как именно это проявляется, какой именно компонент перестает ловить.



#3 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 30 Сентябрь 2019 - 12:14

Проявляется это так -- посылаю тестовое письмо с вирусом, оно падает в ящик без всяких там сообщений что: 

"Обнаружена угроза

Исходное письмо содержало угрозы. Оно перемещено в защищенный паролем архив, прикрепленный к этому сообщению."

 

 

Интеграция MailD с Postfix настроена через Milter.

 

Какой компонент перестает ловить не знаю. Как посмотреть это?



#4 Igorn

Igorn

    Advanced Member

  • Dr.Web Staff
  • 512 Сообщений:

Отправлено 30 Сентябрь 2019 - 12:43

Интеграция MailD с Postfix настроена через Milter.

Продукт работает в ЕС-режиме? Настройки выполняли через ЦУ ЕС ?

Покажите, пожалуйста, вывод

#drweb-ctl ap


Сообщение было изменено Igorn: 30 Сентябрь 2019 - 12:48


#5 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 30 Сентябрь 2019 - 13:09

drweb-ctl ap
ConfigD; 1058; RUNNING 1; Installed (ConfigD ScanEngine FileCheck Update ESAgent NetCheck HTTPD SNMPD StatD ClamD GateD MailD LookupD Antispam CloudD MeshD LinuxFirewall), Should run (Update HTTPD MailD), UUID: cfb62507-d662-4e7a-accc-14bd2221cd25, created: 2019-Jul-21 23:11:43
Update; 1679; RUNNING 1
HTTPD; 1680; RUNNING 1
MailD; 1681; RUNNING 1
MeshD; 1806; RUNNING 1
 
Настройки выполнял через консоль.


#6 Igorn

Igorn

    Advanced Member

  • Dr.Web Staff
  • 512 Сообщений:

Отправлено 30 Сентябрь 2019 - 13:35

выполните в консоли

#drweb-ctl cfset root.defaultloglevel debug

#drweb-ctl cfset root.log /tmp/log

Нужен файл /tmp/log от нормального детекта вируса в почтовом сообщении до его недетекта при повторной отправке



#7 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 30 Сентябрь 2019 - 17:00

Вот нормально работает:
 
2019-Sep-30 13:55:14 [AS-2388] Debug: Vaderetro API: serial 1, protocol info=helo: "mail.xxxx.ru" inet: "zzz.zzz.zzz.zzz.106:36806" mailfrom: "valex@xxxx.ru" rcptto: "valex@nnnn.ru"
2019-Sep-30 13:55:14 [AS-2388] Debug: Vaderetro API: serial 1, score=0, spam_state=0, details=gggruggvucftvghtrhhoucdtuddrgedufedrgedvucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecufffthgfgueenuceurghilhhouhhtmecufedttdenucenucfjughrpefvhffukffffgggtgesmhdtreertdefjeenucfhrhhomheptehlvgigucggvgguuhhtihhnuceovhgrlhgvgiesthgurdgvthhrrdhruheqnecukfhppedujeeirdduudekrddvuddtrddutdeipdelhedrkeefrddukeelrdehtdenucfrrghrrghmpehhvghlohepmhgrihhlrdhtugdrvghtrhdrrhhupdhinhgvthepudejiedruddukedrvddutddruddtieemfeeikedtiedpmhgrihhlfhhrohhmpehvrghlvgigsehtugdrvghtrhdrrhhupdhrtghpthhtohepvhgrlhgvgiesrhihrgiirghnghhovhdrrhhunecuvehluhhsthgvrhfuihiivgeptd, version=Vade Retro 01.413.42 AS+AV+AP+RT Profile: DRWEB; Bailout: 300
2019-Sep-30 13:55:14 [NC-2438] Debug: Local client 0xf: INIT 3 as Job 0x1fb
2019-Sep-30 13:55:14 [NC-2438] Debug: Weight local: 297308954562 1 0 0 0 0 0
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f7: File "/var/opt/drweb.com/tmp/com.drweb.ncheck/f8fd-eba2-6f5f-cdd0"
2019-Sep-30 13:55:14 [NC-2438] Debug: Job 0x1fb: Use job: LocalJob 0x1f7
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f7: Scan
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Regular scan: run
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Shell: using system IO
2019-Sep-30 13:55:14 [SE-2474] F-10926: Info: Scan "/var/opt/drweb.com/tmp/com.drweb.ncheck/f8fd-eba2-6f5f-cdd0"
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Regular scan: reporting
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Engine fork: scan finished
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f7: Scan report received
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f7: Unlock after scanning
2019-Sep-30 13:55:14 [NC-2438] Debug: Job 0x1fb: Reset
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f7: Destroyed
2019-Sep-30 13:55:14 [NC-2438] Debug: Job 0x1fb: Destroyed
2019-Sep-30 13:55:14 [NC-2438] Debug: Local client 0xf: INIT 3 as Job 0x1fc
2019-Sep-30 13:55:14 [NC-2438] Debug: Weight local: 297308957828 1 0 0 0 1 0
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f8: File "/var/opt/drweb.com/tmp/com.drweb.ncheck/3873-d627-e09d-10e4"
2019-Sep-30 13:55:14 [NC-2438] Debug: Job 0x1fc: Use job: LocalJob 0x1f8
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f8: Scan
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Regular scan: run
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Shell: using system IO
2019-Sep-30 13:55:14 [SE-2474] F-10926: Info: Scan "/var/opt/drweb.com/tmp/com.drweb.ncheck/3873-d627-e09d-10e4"
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: DrWebCallDwShieldEx: command is not implemented: 16
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Regular scan: reporting
2019-Sep-30 13:55:14 [SE-2474] F-10926: Debug: Engine fork: scan finished
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f8: Scan report received
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f8: Unlock after scanning
2019-Sep-30 13:55:14 [NC-2438] Debug: Job 0x1fc: Reset
2019-Sep-30 13:55:14 [NC-2438] Debug: LocalJob 0x1f8: Destroyed
2019-Sep-30 13:55:14 [NC-2438] Debug: Job 0x1fc: Destroyed
2019-Sep-30 13:55:14 [MD-1681] Notice: Milter client cd1a-1e35-d3a5: Lua: Trojan.SpyBot.699 found in Акт понедельник.001
2019-Sep-30 13:55:14 [1058] Debug: Net incident: origin: APP_MAILD origin_pid: 1681 mail_incident { socket { address: "zzz.zzz.zzz.zzz.106" port: 36806 } mail_from: "valex@xxxx.ru" rcpt_to: "valex@nnnn.ru" viruses { scan_report { object: "/var/opt/drweb.com/tmp/com.drweb.ncheck/3873-d627-e09d-10e4" size: 55877 archive { type: SE_ARCHIVE name: "RAR" } heuristic_analysis: true core_fingerprint: "\353f\245\254\324\020Z\266\302\351\006\035\244p\354\257" item { object: "\320\220\320\272\321\202 \320\277\320\276\320\275\320\265\320\264\320\265\320\273\321\214\320\275\320\270\320\272.exe" size: 123904 virus { type: SE_KNOWN_VIRUS name: "Trojan.SpyBot.699" } } item { object: "QO" size: 78 } user_time: 0.032212 system_time: 0.001774 } } message_id: "<f88a6efe-c268-8d1d-02bc-5cdf65702f45@xxxx.ru>" action: REPACKED }
 
 
А вот уже не ловит:
 
 
2019-Sep-30 16:40:24 [AS-2388] Debug: Vaderetro API: serial 12, protocol info=helo: "mail.xxxx.ru" inet: "zzz.zzz.zzz.zzz.106:52824" mailfrom: "valex@xxxx.ru" rcptto: "valex@nnnn.ru"
2019-Sep-30 16:40:24 [AS-2388] Debug: Vaderetro API: serial 12, score=0, spam_state=0, details=gggruggvucftvghtrhhoucdtuddrgedufedrgedvucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecufffthgfgueenuceurghilhhouhhtmecufedttdenucenucfjughrpefvhffukffffgggtgesmhdtreertdefjeenucfhrhhomheptehlvgigucggvgguuhhtihhnuceovhgrlhgvgiesthgurdgvthhrrdhruheqnecukfhppedujeeirdduudekrddvuddtrddutdeipdelhedrkeefrddukeelrdehtdenucfrrghrrghmpehhvghlohepmhgrihhlrdhtugdrvghtrhdrrhhupdhinhgvthepudejiedruddukedrvddutddruddtieemhedvkedvgedpmhgrihhlfhhrohhmpehvrghlvgigsehtugdrvghtrhdrrhhupdhrtghpthhtohepvhgrlhgvgiesrhihrgiirghnghhovhdrrhhunecuvehluhhsthgvrhfuihiivgeptd, version=Vade Retro 01.413.42 AS+AV+AP+RT Profile: DRWEB; Bailout: 300
2019-Sep-30 16:40:24 [NC-2438] Debug: Local client 0x36: INIT 31 as Job 0xea0
2019-Sep-30 16:40:24 [NC-2438] Debug: Job 0xea0: Reset
2019-Sep-30 16:40:24 [NC-2438] Debug: Job 0xea0: Destroyed
2019-Sep-30 16:40:24 [NC-2438] Debug: Local client 0x36: INIT 31 as Job 0xea1
2019-Sep-30 16:40:24 [NC-2438] Debug: Job 0xea1: Reset
2019-Sep-30 16:40:24 [NC-2438] Debug: Job 0xea1: Destroyed


#8 Dmitry Mikhirev

Dmitry Mikhirev

    Advanced Member

  • Dr.Web Staff
  • 591 Сообщений:

Отправлено 30 Сентябрь 2019 - 17:19

"От детекта до недетекта" подразумевает и всё то, что было между.



#9 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 01 Октябрь 2019 - 20:55

log

 

https://yadi.sk/d/oWcHmASj2WaMIQ


Сообщение было изменено valex7: 01 Октябрь 2019 - 20:57


#10 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 01 Октябрь 2019 - 21:12

Извиняюсь. Вот правильная ссылка

 

https://yadi.sk/d/4z87h77jUCs-qQ

 

пароль на архив aQl0WQHGc9MxzeSu



#11 Aleksandra K.

Aleksandra K.

    Newbie

  • Dr.Web Staff
  • 56 Сообщений:

Отправлено 02 Октябрь 2019 - 08:31

Приветствую.
Подскажите менялся ли хук? или хук дефолтный?

Необходимо бы предоставить вывод:
drweb-ctl cfshow

А ещё пример письма, которое повторно не детектиться. Или у вас так по каждому письму?



#12 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 02 Октябрь 2019 - 12:07

https://yadi.sk/d/r6fbSz1z7rnEGw    пароль тот же aQl0WQHGc9MxzeSu

 

milter_hook не дефолтный в архиве вместе с конфигом.

 

Вирусы перестает ловить все -- и тестовый EICAR и реальные трояны, пойманные ранее.



#13 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 02 Октябрь 2019 - 12:17

Посмотрел в логах и вот что увидел:

 

Oct  1 12:26:34 mail kernel: [49306.366456] drweb-maild.rea[5117]: segfault at 0 ip 000055a337c06a57 sp 00007ffe10c7ca60 error 6 in drweb-maild.real[55a3378c2000+4b2000]
Oct  2 00:04:03 mail kernel: [91150.960160] drweb-maild.rea[12473]: segfault at 0 ip 00005634f468ba57 sp 00007ffc938339f0 error 6 in drweb-maild.real[5634f4347000+4b2000]
 
Sep 30 09:49:24 mail kernel: [282555.457513] drweb-maild.rea[32067]: segfault at 0 ip 00005590df30ca57 sp 00007ffff7d30f00 error 6 in drweb-maild.real[5590defc8000+4b2000]
Sep 30 09:50:16 mail kernel: [282607.499112] drweb-maild.rea[24067]: segfault at 0 ip 00005561d88bca57 sp 00007ffebc0d34c0 error 6 in drweb-maild.real[5561d8578000+4b2000]
Sep 30 13:07:00 mail kernel: [294407.868507] drweb-maild.rea[25454]: segfault at 0 ip 000055640eaf0a57 sp 00007fffce1c8280 error 6 in drweb-maild.real[55640e7ac000+4b2000]
Sep 30 22:18:28 mail kernel: [327494.411102] drweb-maild.rea[26231]: segfault at 55614b5042d8 ip 000055583dd78f0f sp 00007ffd0ad9f308 error 4 in drweb-maild.real[55583da29000+4b2000]
 
Sep 29 17:15:43 mail kernel: [222939.390300] drweb-maild.rea[10490]: segfault at 0 ip 000055fb9f358a57 sp 00007ffd6664a740 error 6 in drweb-maild.real[55fb9f014000+4b2000]
 
Sep 27 08:38:26 mail kernel: [19123.074504] drweb-maild.rea[5114]: segfault at b ip 000055e0ec3193a0 sp 00007ffec6a89310 error 4 in drweb-maild.real[55e0ebfc9000+4b2000]


#14 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 02 Октябрь 2019 - 12:20

Похоже так делает при  service drweb-configd restart

 

Вот только что:

 

Oct  2 12:18:13 mail kernel: [33615.023792] drweb-maild.rea[5114]: segfault at 0 ip 000055db04f15a57 sp 00007ffda6a6fcd0 error 6 in drweb-maild.real[55db04bd1000+4b2000]


#15 Mikhail Khachayants

Mikhail Khachayants

    Newbie

  • Members
  • 43 Сообщений:

Отправлено 02 Октябрь 2019 - 12:43

valex7, есть возможность получить coredump с падающего процесса drweb-maild?



#16 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 02 Октябрь 2019 - 12:51

Перезалил архив с конфигом и mail_hook, https://yadi.sk/d/SLSfim3XoBvYng

 

Если он еще нужен

 

пароль тот же aQl0WQHGc9MxzeSu


valex7, есть возможность получить coredump с падающего процесса drweb-maild?

 

А как это сделать?



#17 Aleksandra K.

Aleksandra K.

    Newbie

  • Dr.Web Staff
  • 56 Сообщений:

Отправлено 02 Октябрь 2019 - 12:59

А как это сделать?

 

 

https://www.altlinux.org/Features/Core

https://www.altlinux.org/Apache2/Coredump



#18 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 02 Октябрь 2019 - 13:30

 

Coredump сделать можно. Но похоже пока вирусы ловятся, то и перезапуск  service drweb-configd restart не дает segfault.

Буду ждать когда опять перестанут ловится вирусы и тогда перезапущу и пришлю coredump.

 

И еще такой вопрос -- в coredump может содержаться "чуствительная" информация, а тогда бы не хотелось выкладывать всем на обозрение...



#19 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 827 Сообщений:

Отправлено 02 Октябрь 2019 - 13:32

И еще такой вопрос -- в coredump может содержаться "чуствительная" информация

Определённо может.


Семь раз отрежь – один раз проверь

#20 valex7

valex7

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 02 Октябрь 2019 - 13:45

 

И еще такой вопрос -- в coredump может содержаться "чуствительная" информация

Определённо может.

 

 

Ну а тогда может куда-то его прислать? На почту какую-нибудь. Техподдержки например  или конкретно кому-то.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых