Перейти к содержанию
glb_ussr

Symantec Antivirus Corporate Edition

Recommended Posts

glb_ussr

Есть архитектура , центральный сервак, в городах "дочки". Все сделанно на симантеке 10 с последними апдейтами.

Начиная с 26.12.2008 и по 03.01.2009 с города Н. в город Т. улетело 170 гигов.

Разбор детальной статистики показал, что летело с центрального сервака из города Н. на "дочку" в городе Т. на порт на котором сидит

Rtvscan.exe:1984    TCP    0.0.0.0:2967    0.0.0.0:0    LISTENING

детальная статистика выглядит так

col_Источник    col_Получатель    col_Пакетов    col_Байт          col_Порт_ист.    col_Порт_получ.192.168.10.240    192.168.30.2      42886        46991660            4416               2967

что это было понять сложно ... но провайдеру теперь придется объяснять, что я не жираф ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

раскопал по логам следующее

Date: 26.12.2008Time: 1:58:01Category : Virus Def. FileDescription:Update to computer SRV-TOMSK2 of virus definition file 101224b succeeded.

следующее сообщение по времени в 2:03, потом в 2:08 и т.д. с шагом в пять минут, на протяжении 13 дней !

С учетом ширины моего канала, то на то и вышло ...

Что бы пром система (котороя я пользуюсь уже 3 года) вытворяла ТАКОЕ !

ДА ЧТО Ж ЭТО БЫЛО ТО !!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
xck

Может файлы карантина отправлялись? У меня так несколько гигов.... наотправлялось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr
Может файлы карантина отправлялись? У меня так несколько гигов.... наотправлялось...

направление трафика от центрального сервера к переферийным, врядли это карантинные файлы. Да и центра-карантин не настроен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
xck
Category : Virus Def. File

Description:

Update to computer SRV-TOMSK2 of virus definition file 101224b succeeded.

Судя по логам - обновления.... Только куда столько? Случаем на удаленном компьютере не был настроем Live Update Administrator?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

C провайдером вопрос решен, благо товарищи благоразумные (ТрансТелеком, уж больно они мне нравятся). Вопрос в другом, на сколько симантек "крут" что бы помочь мне разобраться с тем что с НИМ произошло ? Кроме того, что я написал, мне найти ничего не удалось ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

glb_ussr какая версия SAV CE у вас установлена? Правильно я понимаю что в филиалах подчиненные сервера? Думаю вам стоит обратиться в тех. поддержку с этим вопросом, они сразу объяснят что это был за трафик

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

Да, правильно. По городам стоят подчиненные сервера, внутри города клиенты ходят только на внутригородской сервак.

Центральный сервак = 10.1.6.6010, сервак с которым была проблемма 10.1.4.4010

в ТП попробую обратится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

glb_ussr советовал бы обновиться до 10.1.8, но предварительно лучше запросить ТП

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr
glb_ussr советовал бы обновиться до 10.1.8, но предварительно лучше запросить ТП

а вы не в курсе, может симантек ведет какие то более детальные логи по поводу обновления дочерних серверов , чем это реализовано в консоли управления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Demkd А насколько верно uVS работает с ЭЦП тема: https://forum.esetnod32.ru/forum6/topic15013/ Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature А здесь мы видим только запись:  Trusted Source И FRST  не пишет, что это Microsoft Corporation а только ( )
    • demkd
      пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.
    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
    • santy
      вообще-то это со слов юзера, не факт что было именно так.   chklst & delvir автоматически не добавляются, если количество сигнатур задействованных при детектировании равно нулю. в данном случае была одна сигнатурка (потому и вышел chklst&delvir), скорее всего фолс на чистом файле, которая не была исключена, но она не попала в скрипт за счет автоматического hide file. hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\XCPCSYNC.OEM\SYNCSDK.209.604\TRANSLATORS\MSOL\PROFMAN64.DLL
    • PR55.RP55
      " что там у пользователя уже в базе есть никто не знает." Мало вероятно, что в базе у пользователя что есть... v4.1.7z (1.03 МБ)  Но  автоматически добавлять команду:  delvir и т.д. не стоит. Пока остаюсь при своём мнении.
×