Перейти к содержимому


Фото
* * * * * 1 Голосов

Known infection source

неизвестная угроза

  • Please log in to reply
11 ответов в этой теме

#1 Ekvental

Ekvental

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 03 Октябрь 2022 - 10:04

Добрый день.  С недавних пор в корпсети в мониторинге сервера Dr.Web стали появляться различные типы неопознанных угроз со сгенерированным  названием наподобие z06flx.xyz или  webmarket.pw:443, при этом движок антивируса определяет их как Known infection source со статусом действия "Сообщено пользователю". Такие детекции проявляются в большом количестве с недавних пор. Что это за зверь такой, может кто-нибудь знает. Версия серверной платформы 13.0



#2 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 03 Октябрь 2022 - 14:17

Это SpIDer Gate начал слать статистику. По двух категориям: нерекомендуемые сайт и сайты, являющиеся источником распространения угроз.

Отключается (отправка статистики) пока только через реестр.

Стоит оценить, откуда и почему идут такие уведомления в большом кол-ве. Может это свидетельствует о проблемах с ПК.


Сообщение было изменено Kirill Polubelov: 03 Октябрь 2022 - 14:17

(exit 0)

#3 Ekvental

Ekvental

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 03 Октябрь 2022 - 15:13

Это SpIDer Gate начал слать статистику. По двух категориям: нерекомендуемые сайт и сайты, являющиеся источником распространения угроз.

Отключается (отправка статистики) пока только через реестр.

Стоит оценить, откуда и почему идут такие уведомления в большом кол-ве. Может это свидетельствует о проблемах с ПК.

Речь идёт, как я полагаю, о проблемах посещения или фонового обращения к этим самым нерекомендованным ресурсам. Но дело в том, что в поле пути к файлам у таких инцидентов отображается только лишь их странное имя. Видимо, единственный выход - это мониторинг всего потока обращений на хостах...
Спасибо.



#4 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 327 Сообщений:

Отправлено 03 Октябрь 2022 - 16:56

"z06flx.xyz или  webmarket.pw:443" -- это не пути к файлам, это адреса сайтов, к которым происходит обращение. В последнем случае, вместе с портом.


(exit 0)

#5 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 03 Октябрь 2022 - 18:30

У вас случаем корпоративный сайт не на битриксе?



#6 Ekvental

Ekvental

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 05 Октябрь 2022 - 16:31

У вас случаем корпоративный сайт не на битриксе?

Насколько мне известно - нет.



#7 teslo

teslo

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 10 Октябрь 2022 - 16:18

столкнулись с ровно той же проблемой, удалось найти решение?

Версия Сервера Dr.Web


#8 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 10 Октябрь 2022 - 16:25

то что у вас из сети ходят на малварные сайты, это не наша а ваша проблема :)


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#9 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 14 Октябрь 2022 - 10:31

Такое же начало появлятся в статистике угроз:

jPYltAD.png

 

Spider Gate нигде не установлен

 

Вопрос: откуда взялись его базы на станции пользователей?

 

cKbX7ek.png

 

Устанавливаемые компоненты:

J3AUFFu.png


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#10 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 827 Сообщений:

Отправлено 14 Октябрь 2022 - 12:43

Это офисный контроль. Баг, что при этом написано про гейт, известен.


Семь раз отрежь – один раз проверь

#11 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 14 Октябрь 2022 - 14:50

но в офисном контроле нет баз с малварью


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#12 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 827 Сообщений:

Отправлено 14 Октябрь 2022 - 16:09

Да и угрозы "источник распространения вирусов" не бывает, что уж там. Особенно когда это приходит на русском (или любом другом) языке с агента.

Кривой фиче кривой полёт.


Сообщение было изменено Afalin: 14 Октябрь 2022 - 16:10

Семь раз отрежь – один раз проверь


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых