Страница 1 из 1

Проверка HTTP трафика SQUID на ICAP сервере

СообщениеДобавлено: 28 сен 2012, 06:18
Dimerson
У кого-нибудь оно работает ?

Многие вендоры пердлагают ICAP версии своих антивирусов:

навскидку
DrWeb
KAV
eSet ...

Re: Проверка HTTP трафика SQUID на ICAP сервере

СообщениеДобавлено: 28 сен 2012, 08:17
sovchik
пробовали Каспера на NetWare, правда давно. наш старый компак 3000 просел по производительности сильно, потому и выключили. Тестировали слишком мало, чтобы почувствовать какие либо плюсы.

Re: Проверка HTTP трафика SQUID на ICAP сервере

СообщениеДобавлено: 28 сен 2012, 08:53
Dimerson
Я прикидываю пускать не на том же сервере а на внешнем - по гиговому езернету.

Re: Проверка HTTP трафика SQUID на ICAP сервере

СообщениеДобавлено: 14 окт 2012, 09:52
Dimerson
вроде работает. Правда когда на другом серере drweb то прокся чуть тормознее - а пределах того же сервера разместил DRWEB+ICAP и сквида все чуток лучше.

squid из sles 11 sp2 уже собран с icap клиентом.

все слегка подтормаживает но не смертельно.

буду наблюдать дальше .... надо бы статистики поболее как он режет фсякую фигню типа java эксплойтов и пр.

а то недавно гонял на 1 станции свежего клона carberp .... имеетсря зараза в бутсекторе + в хвосте в своб секторах NTFS своя шифрованная fs. процесса как такового нет тоже.
имеется code injections в explorer.exe.
всяческие tdsskiller и прочее ничего в бутсекторе не видят ... только uVS при загрузке из WinPE пишет что сигнатура бутсектора не опознана.

заметил что станция идет через проксю на http://абракадабра-из-букв-и-цифр.com {причем перебираются урлы по алгоритму определенному}. иногда на той стороне отвечает http сервер и пошел обмен мелкими HTTP пакетами. Домен зареган 1-2 дня назад в штатах. Чуть позже домен мрет. И по кругу.

и ломится по http легальный процесс explorer.exe ...

Лечилово на станции:

1. вынес ремоту (tekton-it rserv)
2. вычистил бутсектора через загруженный с CD recovery console (fixboot,fixmbr). венда сразу же усиленно чекать NTFS - выносить криптофс :)
3. на станции запретил ходить explorer.exe куда либо по TCP - он бедняга каждую минуту ломится и обламывается жОстко :-/

разослал в вируслабы dll которая занимается code injections (хелперы ее таки не заметили - пришлось включать свою евристику)
таки через нек время появилсо детект - был вынесен автозапуск и тело вируса. Причем зараза нацелена на кражу ключей для ДБО.

И что характерно - код вылизан - никаких глюков и побочных эффектов - если б не глаза и tail -f /var/log/squid/access.log никто б его не заметил....