Перейти к содержимому


Thorvardr

Дата рег: 22 Апр 2008
Оффлайн Был(а) онлайн: Мар 19 2020 08:19
-----

Темы пользователя

Удаление резервных копий сервера

29 Июнь 2017 - 09:49

Здравствуйте.

DrWeb ES 10.01.0

А как задумано удаление резервных копий сервера в штатном режиме? Смотрю в инструкцию, как сделать, вижу, а как поубивать древние копии, нет. Может не туда смотрю.

Раньше я делал так: сервер останавливал, в агенте отключал превентивную защиту, ну и просто удалял каталоги DrWeb Server\var\update_backup_... 

Теперь не даёт так поудалять, видимо, что-то то ли я забыл, то ли поменяли. Но, наверное, всё это неправильно и удаление как то выполняется через web-интерфейс управления серверной частью?


О неопределяемых вирусах

23 Июнь 2016 - 22:22

Хотел уточнить пару моментов.
В последнее время по почте часто присылают всевозможные "заманушки" в виде писем с вложениями, озаглавленными наподобие "вот новая версия договора" или "вот счет, о котором мы договаривались" и т.п. При этом DrWeb ES, который стоит в конторе, их считает безопасными. Да и не только он, проверка на virustotal, как правило, тоже показывает совсем небольшой процент выявления. Но содержимое письма - то scr файл, то js, обычно в архиве, иногда пару раз запакован, иногда с паролем, который жулики пишут в письме.
Каждый раз я беру файл и отправляю его на разбор и каждый раз получаю в итоге подобное письмо:
> Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.
> Угроза: JS.DownLoader.1655
(описание угрозы как пример по сегодняшней ситуации, понятно, что формулировка не всегда именно такая)
И было так уже раз 10. Делаю я поиск и вижу, что, например, "Угроза: JS.DownLoader.1655" = нечто, зарегистрированное аж в 2012 году. Тогда непонятно отчего антивирус его не идентифицировал, но, скорее всего, это название семейства угроз и конкретно сегодняшняя - одна из модификаций. А в конце дня вредоносное программное обеспечение уже, в самом деле, нормально перехватывается антивирусом.
Но вообще, в принципе, каждый раз получаю ответ "такая угроза уже известна" и информацию о каком то давно зареганном типе вируса.
Потому вопросы:
1. Верно ли я понимаю, что описание типа "JS.DownLoader.1655" касается семейства вирусов, а не конкретного единичного вируса и антивирус все таки работает и не "прозевал" вирус 2012 года?
2. Есть ли смысл высылать файлы на разбор если каждый раз "угроза известна нашим специалистам"?
3. В составе Guard-а есть опция "эвристический анализ", который, теоретически, по поведению может предположить, что js скрипт, качающий файл с вторым скриптом (иногда еще и криптованные фрагментами) и пытающийся его запустить, это не совсем нормально, но не предотвращает такое действие. Насколько такая ситуация в работе стандартного софта возникает часто, что антивирус не может однозначно классифицировать эти движения как опасную активность?

Установка агентов и их обновление, WiFi

27 Июль 2015 - 10:32

Здравствуйте

Имеются на предприятии 6 компьютеров, которые в сеть ходят через WiFi.

И все вроде бы с ними нормально, все сетевые задачи работают как надо, копирование файлов на файловый сервер и обратно без проблем, но после каких то последних обновлений перестали там обновляться базы. Думал, что это проблемные версии 6020 и 6021, ан нет, дело не в этом (стоит версия сервиса 6090).

Ну ладно, думаю. Проведу эксперимент. С двух удалил агента под ноль, запустил чистую установку из командной строки:

\\hpserver\drwesi$\drwinst.exe /server 192.168.7.10:2193

В качестве состава устанавливаемых компонент указал только апдейтер (я всегда так делаю).

На этапе "Загрузка компонентов" останавливается на произвольном месте, то 18% пройдет, то 16% и пишет, что "ошибка 110", в логах указано, что "ошибка копирования файлов".

С 48-й попытки оно, возможно, дойдет до конца и отметится на сервере. Размещаю станцию в нужной группе и ожидаю, что доустановятся требуемые компоненты, а никак. В логах циклически идет:

Spoiler
Последний раз успешно эти WiFi станции сумели обновиться, судя по всему, аж 16 июня 2015 г. На стороне сервера они изредка отмечаются в консоли как живые и пишут что базы старые, агент устарел и т.п. Нарисованы с значком "Ошибка обновления".
d715a847ae2f8f2c7c69a94c340d1497.jpeg
Скорость активного соединения WiFi = 300 Мбит/сек. Точка доступа: Zyxel Keenetic.
Прошу совета, чего подкрутить, чтобы оно все таки начало работать?

Не обновляется серверная часть

16 Июль 2015 - 15:00

Здравствуйте.

Пока тут проблемы были с необновлением станций, не дергал, сейчас вроде как по той задаче решение есть, потому пишу про свою оказию.

Не могу серверную часть обновить до версии "03-07-2015 05:00:00".

Текущая версия залипла на "10-05-2015 05:00:00".

Причем понижение до резервной копии "06-05-2015 05:00:00" и обновление ее на "10-05-2015 05:00:00" происходит нормально, но до "03-07-2015 05:00:00" нет.

В логе ключевые места, видимо, такие:

Spoiler
Ну ладно, думаю... Раз пишет про проблему с базой, по инструкции починю ее, не в первый раз.
Нормально делается клон, подменяю файл, все запускается, web-интерфейс доступен, но... все равно не обновляется.
На всякий случай полный лог в приложении.
Подумал, что может как то релиз "03-07-2015 05:00:00" криво скачался, зашел в "Содержимое репозитория", удалил вообще там группу Сервер DrWeb - 20150703000000, перезакачался релиз, попробовал приподнять версию и проблема не разрешилась.
Прошу содействия в разборе проблемы, если это возможно.

DrWeb ES & КонсультантПлюс & Win2008 R2

24 Апрель 2015 - 08:49

Не уверен, что писать надо сюда, а не в НПО ВМИ (разработчик К+), ну да ладно, вдруг кто то разбирал эту проблему и подскажет как ее победить.

Есть программа такая, довольно распространенная, СПС КонсультантПлюс, по сути справочно правовая система.

Конструктивно выглядит как "запускатор" = cons.exe, который загружает исполняемые модули: ht401277.res, ht401278.res и т.п., которые далее видны в процессах и по сути это и есть движок программы.

Нездоровый эффект проявился после переноса софта с Win 2003 SBS на Win2008 R2, до того не возникал ни разу.

Проявляется ТОЛЬКО на Windows Vista  и старше. Эффект стабильный.

Выглядит так: пользователь щелкает на ярлыке КонсультантПлюс, с вероятностью 80% получает MsgBox (а то и 2-3 последовательно) с текстом:

"Невозможно создать директорию <путь>", где <путь> - это путь к папке, в которой лежит cons.exe на сервере.

Директория может быть отмэплена через сетевой диск, может быть просто сетевым путем, эффект один и тот же, просто описание пути разное. В MsgBox есть единственная кнопка Ок, жмем ее и, вроде бы, все работает, но! При такой ситуации один из res-ов полностью загружает одно ядро процесора и на слабых компьютерах это фатально.

Возможно, это важно: в настройках "Spider Guard для рабочих станций" указано исключение на *.res

Если я добавляю в исключения Spider Guard-а (или отключаю его вовсе) cons.exe, то все работает отлично, никаких ругалок, загрузка процессора задачей КонсультантПлюс 2%-4%, но я не могу добавить исполняемый файл cons.exe в исключения, т.к. его стартуют десятки раз на дню и если пойдет вирус, он разлетится по компьютерам сети мгновенно.

По логам идет так (почти никакой существенной информации):

Spoiler

В обозначенном файле cons_err.txt те же сообщения, что идут в MsgBox:

Spoiler

Сталкивался ли кто то с этой неприятностью?