21 ответов в этой теме

[mrrc]

Замечена ошибка в логе drweb-icapd, в момент когда при проверке был обнаружен зараженный объект, но на работоспособность комплекса это никак не сказывается.
Ошибка появляется в момент переименовывания объекта при сохранении в карантин при действии над объектом в фильтре move. Сохраняется в виде файла http:||www.eicar.org|download|eicarcom2.zip

Dr.Web ® daemon for FreeBSD v6.0.1.3
Shell version: 6.0.0.10060 <API:2.2>
Engine version: 5.0.2.3300 <API:2.2>
Dr.Web ® icap daemon, version 6.0.0.2 (May 6 2011)

Sat Aug  6 12&#58;21&#58;31 2011 drweb-icapd &#40;1611&#41;&#58; WARN <A href=&#34;http&#58;//forum.drweb.com/&#91;http&#58;//www.eicar.org/download/eicarcom2.zip&#34;>url&#58;&#91;http&#58;//www.eicar.org/download/eicarcom2.zip</A>&#93;, client_ip&#58;&#91;...&#93;, code=0x20, size=1k, viruses&#58;&#91;EICAR Test File &#40;NOT a Virus!&#41;&#93;
Sat Aug  6 12&#58;21&#58;31 2011 drweb-icapd &#40;1611&#41;&#58; ERROR error in rename to file &#91;/var/drweb/infected/http&#58;||www.eicar.org|download|eicarcom2.zip&#93;&#58; Inappropriate file type or format
Sat Aug  6 12&#58;21&#58;31 2011 drweb-icapd &#40;1611&#41;&#58; WARN File is infected and cannot be cured!&#58; report
Sat Aug  6 12&#58;21&#58;32 2011 drweb-icapd &#40;1611&#41;&#58; INFO email report to <A href=&#34;mailto&#58;admin@domain.ru&#34;>admin@domain.ru</A> sent successfully
Sat Aug  6 12&#58;21&#58;32 2011 drweb-icapd &#40;1611&#41;&#58; WARN <A href=&#34;http&#58;//forum.drweb.com/&#91;http&#58;//www.eicar.org/download/eicarcom2.zip&#34;>url&#58;&#91;http&#58;//www.eicar.org/download/eicarcom2.zip</A>&#93;, client_ip&#58;&#91;...&#93;, code=0x20, size=1k, viruses&#58;&#91;EICAR Test File &#40;NOT a Virus!&#41;&#93;
Sat Aug  6 12&#58;21&#58;32 2011 drweb-icapd &#40;1611&#41;&#58; ERROR error in rename to file &#91;/var/drweb/infected/http&#58;||www.eicar.org|download|eicarcom2.zip&#93;&#58; Inappropriate file type or format
Sat Aug  6 12&#58;21&#58;32 2011 drweb-icapd &#40;1611&#41;&#58; WARN File is infected and cannot be cured!&#58; report

Сообщение было изменено userr: 07 Август 2011 - 16:45

[Gennady Proskurin]

просьба приложить вывод команды
ls -la /var/drweb/infected

а также приложить конфиг

[mrrc]

Ок, сделаю вечером, конфиг drweb-icapd.ini интересует?

[Gennady Proskurin]

Ок, сделаю вечером, конфиг drweb-icapd.ini интересует?

да

[mrrc]

[codebox]
# cat drweb-icapd.ini
# Configuration file for Dr.Web ICAP daemon.
# $Revision: 1.49.2.22 $</P> <P># General description of configuration file.</P> <P>[Icapd]
# ===========================================================================
# = Description of parameters in configuration file for Dr.Web ICAP daemon. =
# ===========================================================================</P> <P># MaxLogSize = {Size}
# Maximum log file size.
MaxLogSize = 1m</P> <P># Loglevel = {Digital}
# Log verbosity level.
Loglevel = 1</P> <P># Logfile = {String}
# Log file name.
Logfile = /var/drweb/log/drweb-icapd.log</P> <P># SyslogFacility = {
# User|
# Daemon|
# Mail|
# Local0|
# Local1|
# Local2|
# Local3|
# Local4|
# Local5|
# Local6|
# Local7
# }
# Syslog facility type.
SyslogFacility = Daemon</P> <P># SyslogPriority = {Notice|Warning|Alert|Info}
# Priority of record when using syslogd system service.
SyslogPriority = Info</P> <P># Hostmaster = {Address}
# Specifies e-mail address of administrator.
Hostmaster = <A href="mailto:admin@u">admin@</A></P> <P># Incurable = {move|truncate|report}
# Actions applied to files containing incurable viruses.
Incurable = move</P> <P># Suspicious = {move|pass|truncate|report}
# Actions applied to possibly infected (suspicious) files.
Suspicious = move</P> <P># Infected = {cure|move|truncate|report}
# Actions applied to files which might be cured.
Infected = cure</P> <P># Adware = {move|pass|truncate|report}
# Actions applied to files containing adware.
Adware = move</P> <P># Dialers = {move|pass|truncate|report}
# Actions applied to files containing dialers.
Dialers = move</P> <P># Jokes = {move|pass|truncate|report}
# Actions applied to files containing joke programs.
Jokes = move</P> <P># Riskware = {move|pass|truncate|report}
# Actions applied to riskware (potentially dangerous programs).
Riskware = move</P> <P># Hacktools = {move|pass|truncate|report}
# Actions applied to programs for unauthorized access.
Hacktools = move</P> <P># ArchiveRestriction = {move|pass|truncate|report}
# Action to be applied to archives, which cannot be scanned by daemon due to the
# excess of limits set for archives in main configuration file.
ArchiveRestriction = pass</P> <P># DaemonError = {move|pass|truncate|report}
# Action to be applied to files causing errors during scan.
DaemonError = pass</P> <P># SkipObject = {move|pass|truncate|report}
# Action to be applied to files, which cannot be scanned by daemon.
SkipObject = pass</P> <P># LicenseError = {move|pass|truncate|report}
# Action to be applied to files which evoked license error during scan.
LicenseError = pass</P> <P># Heuristic = {Boolean}
# Heuristic analyzer settings.
Heuristic = yes</P> <P># LocalScan = {Boolean}
# Local scan mode.
LocalScan = yes</P> <P># User = {String}
# User account with appropriate rights to be used by drweb-icapd.
User = drweb</P> <P># Cache = {DirPath}
# Path to directory, where temporary files are created and stored.
Cache = /var/drweb/cache/</P> <P># DwsDirectory = {DirPath}
# Path to directory containing predefined content-specific black lists.
DwsDirectory = /var/drweb/dws</P> <P># BlockPorno = {Boolean}
# Possibility to block resources with pornographic content by means of predefined
# content-specific black lists.
BlockPorno = no</P> <P># BlockViolence = {Boolean}
# Possibility to block resources with violent content by means of predefined
# content-specific black lists.
BlockViolence = no</P> <P># BlockWeapon = {Boolean}
# Possibility to block resources devoted to all kind of weapons by means of
# predefined content-specific black lists.
BlockWeapon = no</P> <P># BlockGamble = {Boolean}
# Possibility to block resources devoted to gambling by means of predefined
# content-specific black lists.
BlockGamble = no</P> <P># BlockDrugs = {Boolean}
# Possibility to block resources devoted to drugs by means of predefined
# content-specific black lists.
BlockDrugs = no</P> <P># BlockObscenity = {Boolean}
# Possibility to block resources with obscene content by means of predefined
# content-specific black lists.
BlockObscenity = no</P> <P># BlockChats = {Boolean}
# Possibility to block all chats by means of predefined content-specific black
# lists.
BlockChats = no</P> <P># BlockTerrorism = {Boolean}
# Possibility to block resources devoted to terrorism by means of predefined
# content-specific black lists.
BlockTerrorism = no</P> <P># BlockEmail = {Boolean}
# Possibility to block resources providing free e-mail address registration by
# means of predefined content-specific black lists.
BlockEmail = no</P> <P># BlockSocialNetwork = {Boolean}
# Possibility to block access to all types of social networks by means of
# predefined content-specific black lists.
BlockSocialNetwork = no</P> <P># BlockMalwareLinks = {Boolean}
# Possibility to block resources with malware by means of predefined
# content-specific black lists.
BlockMalwareLinks = yes</P> <P># BlockAll = {Boolean}
# When turned on, any request is blocked.
BlockAll = no</P> <P># WhiteDwsFiles = {List}
# List of plain text files each containing list of hosts to be excluded from
# check on compliance with predefined content-specific black lists.
WhiteDwsFiles = </P> <P># SendUrlsWithViruses = {Boolean}
# Possibility to send automatically to Dr.Web addresses of web-pages containing
# viruses and names of detected viruses as well.
SendUrlsWithViruses = no</P> <P># Templates = {DirPath}
# Path to directory containing templates.
Templates = /usr/local/etc/drweb/templates/icapd-ru</P> <P># PidFile = {DirPath}
# Path to PID file.
PidFile = /var/drweb/run/drweb_icapd.pid</P> <P># Key = {FilePath}
# Path to key file.
Key = /usr/local/drweb/drweb32icap.key</P> <P># BlackHosts = {List}
# List of files with hosts to be blocked.
BlackHosts = </P> <P># WhiteHosts = {List}
# List of files with hosts that will not be checked for viruses
WhiteHosts = </P> <P># MaxBlocksize = {Size}
# Maximum size of memory block.
MaxBlocksize = 10m</P> <P># BindPort = {Digital}
# Port number.
BindPort = 1344</P> <P># BindAddress = {Address}
# Host where drweb-icapd resides.
BindAddress = 127.0.0.1</P> <P># DrwebAddress = {Address}
# List of sockets used for connection to Dr.Web Daemon.
DrwebAddress = pid:/var/drweb/run/drwebd.pid</P> <P># PathToQuarantine = {DirPath}
# Path to quarantine directory.
PathToQuarantine = /var/drweb/infected</P> <P># QuarantineFilesMode = {Permissions}
# Access permissions to files in quarantine.
QuarantineFilesMode = 0660</P> <P># Timeout = {Digital}
# Timeout in seconds for socket to wait for data receipt.
Timeout = 300</P> <P># SendMail = {Boolean}
# Whether to send notifications to administrator about attempts to open "bad"
# page or not.
SendMail = yes</P> <P># SendMailDwsBlock = {Boolean}
# Whether to send notifications to administrator about attempts to open pages,
# blocked by content-specific black lists.
SendMailDwsBlock = no</P> <P># MailCommand = {String}
# Command executed in order to send notification to administrator about
# an attempt to open a "bad" page.
MailCommand = "/usr/sbin/sendmail -i -bm -f drweb -- %s"</P> <P># MailCache = {Digital}
# Time span in seconds within which notifications about repeated attempts to open
# the same &#39;bad&#39; page are not sent to administrator.
MailCache = 60</P> <P># AclList = {List}
# List of files with ip-addresses and host names, from which access to
# drweb-icapd is allowed.
AclList = </P> <P># SendStat = {Boolean}
# Whether to send statistics on detected viruses to Agent or not.
SendStat = no</P> <P># KeepAlive = {Boolean}
# Whether to maintain permanent connection with proxy server or not.
KeepAlive = yes</P> <P># UsePreview = {Boolean}
# Preview mode.
UsePreview = yes</P> <P># Set of rules for processing of files depending on their mime-type.
MimeStart
* scan 1M pass
application scan 1M pass
image scan 1M pass
message scan 1M pass
multipart scan 1M pass
text scan 1M pass
audio pass all
video pass all
application/x-mms-framed pass all
MimeEnd</P> <P>[def]</P> <P>
[match]</P> <P>[/codebox]

Сообщение было изменено maxic: 08 Август 2011 - 20:24

[Gennady Proskurin]

Спасибо
ошибка поправлена, исправление будет в очередном релизе
На функциональность drweb-icapd она никак не влияет, её можно игнорировать

[mrrc]

Не рабоатет режим preview
Настройки конфигов дефолтовые, Preview вклчен и в squid-е и в icap daemon-е, но все равно файлы более 1MB вначале скачиваются и проверяются антивирусом и только после отдаются пользователю, о чем свдетельствует видимая задержка после клика по ссылке и логи, где виден процесс проверки содержимого запрошенного файла.

Dr.Web ® daemon for FreeBSD v6.0.1.3
Shell version: 6.0.0.10060 <API:2.2>
Engine version: 5.0.2.3300 <API:2.2>
Dr.Web ® icap daemon, version 6.0.0.2 (May 6 2011)
Squid-3.1.14

[mrrc]

Так что, нужно больше инфы или preview все-таки не работает в последних релизах?

[Gennady Proskurin]

Не рабоатет режим preview
Настройки конфигов дефолтовые, Preview вклчен и в squid-е и в icap daemon-е, но все равно файлы более 1MB вначале скачиваются и проверяются антивирусом и только после отдаются пользователю, о чем свдетельствует видимая задержка после клика по ссылке и логи, где виден процесс проверки содержимого запрошенного файла.

Dr.Web ® daemon for FreeBSD v6.0.1.3
Shell version: 6.0.0.10060 <API:2.2>
Engine version: 5.0.2.3300 <API:2.2>
Dr.Web ® icap daemon, version 6.0.0.2 (May 6 2011)
Squid-3.1.14

В icapd в режиме preview могут проверяться только данные из http-заголовков, т.е. работают всякие блеклисты и т.п. Содержимое файла проверяется полностью только после скачивания.

Это связано с ограничением icap-протокола. Если в прокси (squid) передать какие-то данные (например начать передавать файл), их невозможно "отменить". Т.е. если после полной проверки файла всё-таки окажется что в файле вирус, средствами icap-протокола сквиду (и тем более браузеру) об этом сообщить нельзя.

[mrrc]

В icapd в режиме preview могут проверяться только данные из http-заголовков, т.е. работают всякие блеклисты и т.п. Содержимое файла проверяется полностью только после скачивания.

Как это относится к моему вопросу?
Это издавна известно.

Это связано с ограничением icap-протокола. Если в прокси (squid) передать какие-то данные (например начать передавать файл), их невозможно "отменить". Т.е. если после полной проверки файла всё-таки окажется что в файле вирус, средствами icap-протокола сквиду (и тем более браузеру) об этом сообщить нельзя.

И это тоже?
Речь о том, что не работает preview, так как он должен работать, пропуская без проверки объекты размером более одного мегабайта.

[Gennady Proskurin]

В icapd в режиме preview могут проверяться только данные из http-заголовков, т.е. работают всякие блеклисты и т.п. Содержимое файла проверяется полностью только после скачивания.

Как это относится к моему вопросу?
Это издавна известно.

Это связано с ограничением icap-протокола. Если в прокси (squid) передать какие-то данные (например начать передавать файл), их невозможно "отменить". Т.е. если после полной проверки файла всё-таки окажется что в файле вирус, средствами icap-протокола сквиду (и тем более браузеру) об этом сообщить нельзя.

И это тоже?
Речь о том, что не работает preview, так как он должен работать, пропуская без проверки объекты размером более одного мегабайта.

Пропуск проверки по размеру конфигурируется в секции MimeStart
К preview это не имеет отношения.

[mrrc]

Пропуск проверки по размеру конфигурируется в секции MimeStart
К preview это не имеет отношения.

Возможно, я неверно сослался на preview описывая ситуацию, но сути это не меняет, объекты более одного мегабайта также проверяются, хотя и не должны.

MimeStart
  *								scan 1M pass
  application					  scan 1M pass
  image							scan 1M pass
  message						  scan 1M pass
  multipart						scan 1M pass
  text							 scan 1M pass
  audio							pass all
  video							pass all
  application/x-mms-framed		 pass all
MimeEnd

[Gennady Proskurin]

Пропуск проверки по размеру конфигурируется в секции MimeStart
К preview это не имеет отношения.

Возможно, я неверно сослался на preview описывая ситуацию, но сути это не меняет, объекты более одного мегабайта также проверяются, хотя и не должны.

MimeStart
   *								scan 1M pass
   application					  scan 1M pass
   image							scan 1M pass
   message						  scan 1M pass
   multipart						scan 1M pass
   text							 scan 1M pass
   audio							pass all
   video							pass all
   application/x-mms-framed		 pass all
 MimeEnd

Можете привести дебаг лог при скачивании файла размером более 1М?

[mrrc]

Да, в drweb-icapd.ini выставить Loglevel = 32?

Прикрепленные файлы:

•  log.txt   39,59К   2 Скачано раз

[Gennady Proskurin]

Да, в drweb-icapd.ini выставить Loglevel = 32?

Loglevel =255

с 32 в логе будут только дебаг-сообщения

[mrrc]

.

Прикрепленные файлы:

•  log.txt   112,33К   6 Скачано раз

[mrrc]

И что прояснилось?
Я вообще так понимаю, что у всех пропуск проверки по размеру работает?
Или уже никто не пользуется продуктом?

[mrrc]

Ну так в чем проблема?

[mrrc]

Пропуск проверки по размеру конфигурируется в секции MimeStart
К preview это не имеет отношения.

Господа разработчики и техническая поддержка, мой вопрос был проигнорирован?
Описанная мною в конце прошлого года в данной теме проблема с неработоспособностью проверки по размеру так и не решена? Никакой реакции по предоставленным вам по вашему запросу дебагам не получено. На данный момент с последними вашими продуктами объекты более одного мегабайта также проверяются, хотя и не должны.
Конфигурация и настройки drweb-icapd, squid указаны выше в топике, используемый на данный момент софт:

SQUID 3.1.20
Fri Aug 10 23:53:06 2012 Dr.Web ® daemon for FreeBSD v6.0.2.1
Fri Aug 10 23:53:06 2012 Shell version: 6.0.2.02020 <API:2.2>
Sat Aug 11 00:25:11 2012 Engine version: 7.0.3.7130 <API:2.2>
Fri Aug 10 23:48:40 2012 drweb-icapd (25091): INFO Start Dr.Web ® icapd ver 6.0.2.1

В чем проблема - что-то неправильно настроено у нас или ваш продукт перестал предоставлять данный заявленный в документации функционал, позволяющий обеспечить повышение общей скорости и комфортности работы конечного пользователя, как пишется в документации и как на деле действительно работало ранее?

[milo]

Добрый день. Действительно, это ошибка на стороне икапа. Спасибо за содействие. С подобными вопросами (ошибками) лучше обращаться сразу в службу техподдержки - быстрей фидбек получите.