Проверка HTTP трафика SQUID на ICAP сервере

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Проверка HTTP трафика SQUID на ICAP сервере

Сообщение Dimerson » 28 сен 2012, 06:18

У кого-нибудь оно работает ?

Многие вендоры пердлагают ICAP версии своих антивирусов:

навскидку
DrWeb
KAV
eSet ...
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: Проверка HTTP трафика SQUID на ICAP сервере

Сообщение sovchik » 28 сен 2012, 08:17

пробовали Каспера на NetWare, правда давно. наш старый компак 3000 просел по производительности сильно, потому и выключили. Тестировали слишком мало, чтобы почувствовать какие либо плюсы.
sovchik
 
Сообщения: 296
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: Проверка HTTP трафика SQUID на ICAP сервере

Сообщение Dimerson » 28 сен 2012, 08:53

Я прикидываю пускать не на том же сервере а на внешнем - по гиговому езернету.
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: Проверка HTTP трафика SQUID на ICAP сервере

Сообщение Dimerson » 14 окт 2012, 09:52

вроде работает. Правда когда на другом серере drweb то прокся чуть тормознее - а пределах того же сервера разместил DRWEB+ICAP и сквида все чуток лучше.

squid из sles 11 sp2 уже собран с icap клиентом.

все слегка подтормаживает но не смертельно.

буду наблюдать дальше .... надо бы статистики поболее как он режет фсякую фигню типа java эксплойтов и пр.

а то недавно гонял на 1 станции свежего клона carberp .... имеетсря зараза в бутсекторе + в хвосте в своб секторах NTFS своя шифрованная fs. процесса как такового нет тоже.
имеется code injections в explorer.exe.
всяческие tdsskiller и прочее ничего в бутсекторе не видят ... только uVS при загрузке из WinPE пишет что сигнатура бутсектора не опознана.

заметил что станция идет через проксю на http://абракадабра-из-букв-и-цифр.com {причем перебираются урлы по алгоритму определенному}. иногда на той стороне отвечает http сервер и пошел обмен мелкими HTTP пакетами. Домен зареган 1-2 дня назад в штатах. Чуть позже домен мрет. И по кругу.

и ломится по http легальный процесс explorer.exe ...

Лечилово на станции:

1. вынес ремоту (tekton-it rserv)
2. вычистил бутсектора через загруженный с CD recovery console (fixboot,fixmbr). венда сразу же усиленно чекать NTFS - выносить криптофс :)
3. на станции запретил ходить explorer.exe куда либо по TCP - он бедняга каждую минуту ломится и обламывается жОстко :-/

разослал в вируслабы dll которая занимается code injections (хелперы ее таки не заметили - пришлось включать свою евристику)
таки через нек время появилсо детект - был вынесен автозапуск и тело вируса. Причем зараза нацелена на кражу ключей для ДБО.

И что характерно - код вылизан - никаких глюков и побочных эффектов - если б не глаза и tail -f /var/log/squid/access.log никто б его не заметил....
Аватара пользователя
Dimerson
 
Сообщения: 2749
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron