Автор Тема: Как да сканирам http трафика за вируси  (Прочетена 2520 пъти)

laskov

  • Напреднали
  • *****
  • Публикации: 2948
    • Профил
На рутера Slackware работят Squid, ClamAV и Mailscanner, тъй като е и пощенски сървър. ClamAV предлагат няколко варианта и ще избера някой от тях. Моля за помощ от публиката  '<img'> . Благодаря за отзивите!
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

dope_hat

  • Напреднали
  • *****
  • Публикации: 131
    • Профил
    • WWW
Как да сканирам http трафика за вируси
« Отговор #1 -: Apr 08, 2005, 14:59 »
Ами това може да го направиш и с командата tcpdump.
Примерно за вирусите Maslan, Sasser, Blaster които ползват 445 порт за разпространение:
Примерен код

tcpdump -i eth0 -n |grep "445" |grep "tcp"

като tcp може да си го замениш с udp '<img'>
Гледаш кой прави много заявки по тези параметри и го reject-ваш ако искаш '<img'>
Успех,
Активен

FreeBSD:The Power To Serve

laskov

  • Напреднали
  • *****
  • Публикации: 2948
    • Профил
Как да сканирам http трафика за вируси
« Отговор #2 -: Apr 08, 2005, 15:17 »
Така се прави за откриване на вече заразени машини във вътрешната мрежа, но аз нямам това предвид. Пример - клиент иска да си свали от мрежата някакво .ехе, но то се оказва заразено с вирус. А може да е специално конструиран .jpg, в страница, която си поискал ...
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Как да сканирам http трафика за вируси
« Отговор #3 -: Apr 08, 2005, 17:09 »
Някой беше споменал в някоя от темите за съвместна работа на хттп-прокси и антивирусна - сорри не помня къде. Това е може би което ти трябва...
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

  • Гост
Активен