ClamAV

PomidorOFF · Сообщение **PomidorOFF** » 26 окт 2004, 19:29

что возвращает
ps axwu | grep clamav-milter
?

ns# ps axwu | grep clamav-milter
clamav 17433 0,0 0,5 2196 1212 ?? Ss пн14 0:04,92 /usr/local/sbin/clamav-milter --postmaster-only --quarantine-dir=/v
ns#

Сообщение **corvax** » 26 окт 2004, 19:40

PomidorOFF писал(а):
что возвращает
ps axwu | grep clamav-milter
?
ns# ps axwu | grep clamav-milter
clamav 17433 0,0 0,5 2196 1212 ?? Ss пн14 0:04,92 /usr/local/sbin/clamav-milter --postmaster-only --quarantine-dir=/v
ns#

а милтер пишет в лог строки типа

Код: Выделить всё

Quarantined infected mail as имя_файла

?

упс... такие строки будут только при использовании syslog

virt · Сообщение **virt** » 29 окт 2004, 11:14

у меня после clamav 0.80 установден Drweb
который за кламавом обнаруживает вирус Win32.HLLM.MyDoom.54464.

Другие вирусы кламав успешно задерживает.

Вирус этот насколько я знаю давний. Может делов в моих настройках?

Сообщение **corvax** » 29 окт 2004, 12:29

virt писал(а):у меня после clamav 0.80 установден Drweb
который за кламавом обнаруживает вирус Win32.HLLM.MyDoom.54464.

$ clamdscan Win32.HLLM.MyDoom.54464.msg
/tmp/Win32.HLLM.MyDoom.54464.msg: Worm.Mydoom.M FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.162 sec (0 m 0 s)

$ pkg_info -I clamav\*
clamav-0.80 Command line virus scanner written entirely in C

virt писал(а):Другие вирусы кламав успешно задерживает.

а что говорит clamdscan или clamscan --mbox?

virt писал(а):Вирус этот насколько я знаю давний. Может делов в моих настройках?

virt · Сообщение **virt** » 29 окт 2004, 12:38

хм.
Worm.Mydoom.M у меня clamav точно определяет.
у меня связка СommunigatePro+cgpav+Clamav+Drweb

по поводу что говорит clamscan ничего ответить не могу, так как DrWEB сразу удадяет письмо это с вирусом без сохранения

Если не трудно, пришлите плиз данный вирус мне на
srl_wrk@softhome.net или выложите где нить я заберу...

Сообщение **setar** » 29 окт 2004, 12:40

virt писал(а):у меня после clamav 0.80 установден Drweb
который за кламавом обнаруживает вирус Win32.HLLM.MyDoom.54464.

Другие вирусы кламав успешно задерживает.

Вирус этот насколько я знаю давний. Может делов в моих настройках?

да нет, просто Clamav молодой , в нем нет штаммов старых вирусов

virt · Сообщение **virt** » 29 окт 2004, 12:48

не такой уж и старый этот вирус.
Больше и больше 10 штук ежедневно валится..

Сообщение **corvax** » 29 окт 2004, 13:01

setar писал(а):
virt писал(а):у меня после clamav 0.80 установден Drweb
который за кламавом обнаруживает вирус Win32.HLLM.MyDoom.54464.

Другие вирусы кламав успешно задерживает.

Вирус этот насколько я знаю давний. Может делов в моих настройках?
да нет, просто Clamav молодой , в нем нет штаммов старых вирусов

этого - есть
проверено

virt · Сообщение **virt** » 29 окт 2004, 13:27

файлы получил. спасибо
clamav их обнаруживает.

в то же время мой Drweb время от времени генерирует следующее:

--- Dr.Web report ---
Following virus(es) has been found:
Known virus(es):
Win32.HLLM.MyDoom.54464

Dr.Web detailed report:
[61877] 4359172.msg - archive MAIL
[61877] 4359172.msg/[text:plain] - Ok
[61877] 4359172.msg/file.zip - archive ZIP
[61877] >>4359172.msg/file.zip/file.scr infected with Win32.HLLM.MyDoom.54464

Dr.Web scanning statistic:
Known viruses : 1

--- Dr.Web report ---

The original message was stored in archive record named:
file was not created

Возможно это какая то модификация этого вируса...
В интернете нашел, что дело имеет место быть...
http://exim.org.ua/pipermail/exim-users ... 02822.html

Сообщение **corvax** » 29 окт 2004, 14:09

virt писал(а):файлы получил. спасибо
clamav их обнаруживает.

в то же время мой Drweb время от времени генерирует следующее:

--- Dr.Web report ---
Following virus(es) has been found:
Known virus(es):
Win32.HLLM.MyDoom.54464

Dr.Web detailed report:
[61877] 4359172.msg - archive MAIL
[61877] 4359172.msg/[text:plain] - Ok
[61877] 4359172.msg/file.zip - archive ZIP
[61877] >>4359172.msg/file.zip/file.scr infected with Win32.HLLM.MyDoom.54464

Dr.Web scanning statistic:
Known viruses : 1

--- Dr.Web report ---

The original message was stored in archive record named:
file was not created

Возможно это какая то модификация этого вируса...
В интернете нашел, что дело имеет место быть...
http://exim.org.ua/pipermail/exim-users ... 02822.html

я на то письмо в exim-rusers отвечал
и проявлялось это на достаточно старой версии кламава (до 0.75.1)
MTA какой? как подключены антивиры? если sendmail и milter'ы, то какое значение имеет параметр F в строке подключения милтера?

virt · Сообщение **virt** » 29 окт 2004, 14:22

FreeBSD 4.10
MTA CommuniGate Pro 4.1.8
clamav 0.80 подключен через cgpav-1.3c

Сообщение **corvax** » 29 окт 2004, 14:31

virt писал(а):FreeBSD 4.10
MTA CommuniGate Pro 4.1.8
clamav 0.80 подключен через cgpav-1.3c

сорри, я забыл... где-то выше по треду упоминался cgp
возможно, clamd не отваливается и тогда письмо ловит drwebd

virt · Сообщение **virt** » 29 окт 2004, 14:38

странно что это происходит с одним и тем же вирусом...
как вылечить пока не ясно..

Сообщение **corvax** » 29 окт 2004, 14:53

virt писал(а):странно что это происходит с одним и тем же вирусом...
как вылечить пока не ясно..

ну так можно один из тех двух экземпляров подрихтовать, сменив адреса отправителя и получателя и влить cgp на 25-й порт. ну и логи смотреть

virt · Сообщение **virt** » 29 окт 2004, 15:04

не понял смысла ...

я ж писал что те 2 экземпляра без проблем определяются кламавом...

ClamAV

Кто сейчас на конференции