» ESET NOD32 (antivirus, антивирус) часть 2

Подскажите плизз где почитать про nod32.cfg для FreeBSD системы? желательно на русском, но если толково расписано, можно по английски.
В принципе там все в комментариях расписано, но я не очень хорошо ориентируюсь в UNIX, и хотелось бы видеть разжеванный вариант, что, зачем и почему.

в догонку.
не пойму чего делать
при попытке запустить демон скрипт завершается с ошибкой

Код:
freebsd# /usr/local/etc/rc.d/nod32d.sh start
Starting NOD32 for FreeBSD Server: nod32d/libexec/ld-elf.so.1: Shared object "libintl.so.6" not found, required by "nod32d"

XenoZ
Gluzer

Цитата:

Mini FAQ

Не правильно объяснился: нужно сбросить пароль на Remote Administrator Server, который вводится при подключении.

Добавлено:
Filosofem

Цитата:

Мне помогло удаление nod32ra.mdb.

Не помогло.

Markes
значит я тогда еще чего-то сделал. Наверно nod32ra.ini. Там password_hash, его значение удали.
Я просто когда в такой же ситуации как ты оказался, посмотрел его процессмонитором, а потом сразу все поменял, не было времени разбираться.
Потом перезапустил службу и без проблем под пустым паролем зашел.

Подскажите где почитать про nod32-попробуй может там-
http://vareza.net/forums

Andruha4107

Цитата:

Подскажите где почитать про nod32-попробуй может там-
http://vareza.net/forums

чего то там тоже ничего пока не нашел...
может проблема в том, что у меня система под амд?
сейчас возможности проверить нету, приду домой - попробую там его поставить.

Удалил Бету 3-й версии, но в Секъюрити центре Висты все равно пишется, что мол НОД32 защищает мой комп. Т.е. где-то мусора пооставляла, ни кто не знает как подчистить?

есть ли принципиальная разница в настройках обновления - автоматический выбор сервера/указать вручную?

a4597
если обновляешься с оф. серверов и оф.ключем, то вобщем-то нет

Andruha4107

Цитата:

http://vareza.net/forums

не рекламь!

NOD32 2.70.39 стоит на 30 клиентах, обновляется с зеркала, которое формируется на хосте, смотрящем в инет. на этом же хосте стоит файрволл, в логах которого постоянно лезут вот такие коннекты со всех клиентов:

[06/Sep/2007 16:07:48] [ID] 26615 [Rule] NAT [Service] HTTP [User] ; [Connection] TCP 10.0.0.111:3641 -> u11.eset.com:80 [Duration] 121 sec [Bytes] 0/438/438 [Packets] 0/5/5
[06/Sep/2007 16:07:48] [ID] 26614 [Rule] NAT [Service] HTTP [User] ; [Connection] TCP 10.0.0.111:3640 -> ts07.eset.com:80 [Duration] 121 sec [Bytes] 0/438/438 [Packets] 0/5/5
[06/Sep/2007 16:07:48] [ID] 26613 [Rule] NAT [Service] HTTP [User] ; [Connection] TCP 10.0.0.111:3639 -> u13.eset.com:80 [Duration] 121 sec [Bytes] 0/438/438 [Packets] 0/5/5
[06/Sep/2007 16:07:48] [ID] 26612 [Rule] NAT [Service] HTTP [User] ; [Connection] TCP 10.0.0.111:3638 -> ts09.eset.com:80 [Duration] 121 sec [Bytes] 0/438/438 [Packets] 0/5/5
[06/Sep/2007 16:07:48] [ID] 26611 [Rule] NAT [Service] HTTP [User] ; [Connection] TCP 10.0.0.111:3637 -> ts03.eset.com:80 [Duration] 121 sec [Bytes] 0/438/438 [Packets] 0/5/5

не могу понять зачем это надо ноду и как это запретить средствами самого нода!

Указываю в настройках заркала, там где "Папка зеркала обновления", локальную папку - зеркало обновляется. Указываю сетевой диск - "Ошибка создания файла". В логах "Функция CreateFile, Код возврата: 5".

Тоже самое, если заходим: настройки зеркала, кнопка "Дополнительно", "Сохранить файлы дискеты обновления в папку" и здесь указываем сетевую папку.

Вопрос: может ли NOD сделать зеркало (или его копию) в сетевой папке, если она подключена как диск и все права имеются?

Lexa111

На клиентах в "Hacтpoйкa aвтoмaтичecкoго oбнoвлeния->Cepвep:" у тебя что стоит <Aвтoмaтичecкий выбop> или твой сервер обновлений (зеркало)?

Добавлено:
Lovec

Цитата:

...и все права имеются?

Точно все права? Или все права той машины на которой стоит LUS, а не той на которую пишем!!!
Пробовал "Сохранить файлы дискеты обновления в папку" создать не получалось, но потом в "Настройках зеркала-Дополнительно-Подключаться к зеркалу обновления как" установил "Текущий пользователь" и тут все стало работать! По умолчанию НОД работает с правами системы на которой установлен и в сени она не имеет никаких прав (имеется в виду профиль System). ИМХО -- нужно указать пользователя который имеет права на запись и создание на тех машинах на которых ти хочеш создавать зеркала! Но там нельзя указать домена, значит на машинах должны быть одинаковые локальные пользователи!

lavren
Все так и есть. Спасибо

Цитата из шапки: "В заключении, справедливости ради, стоит отметить, что на данный момент Nod32 не обеспечивает должный уровень защиты, так как до сих пор не закрыта уязвимость, позволяющая путем простейших манипуляций с операционной системой заставить Nod32 пропускать зараженные файлы, как безвредные. Делайте выводы!!!"

Как это сделать?

lavren


Цитата:

На клиентах в "Hacтpoйкa aвтoмaтичecкoго oбнoвлeния->Cepвep:" у тебя что стоит <Aвтoмaтичecкий выбop> или твой сервер обновлений (зеркало)?

у всех стоит \\firewall\nod_upd - это путь к зеркалу

Сейчас посмотрел на 2.70.25 версии тоже вылезали коннекты, но уже немного другого вида и всего по 5 штук подряд(сейчас - по 18!!):
[08/Aug/2007 18:50:34] [ID] 78589 [Rule] NAT [Service] HTTP [User] KozlovSV [Connection] TCP 10.0.0.24:1546 -> u12.eset.com:80 [Duration] 142 sec [Bytes] 144/2295/2439 [Packets] 3/6/9
[08/Aug/2007 18:50:55] [ID] 78590 [Rule] NAT [Service] HTTP [User] KozlovSV [Connection] TCP 10.0.0.24:1547 -> u14.eset.com:80 [Duration] 142 sec [Bytes] 144/2295/2439 [Packets] 3/6/9
[08/Aug/2007 18:51:16] [ID] 78592 [Rule] NAT [Service] HTTP [User] KozlovSV [Connection] TCP 10.0.0.24:1548 -> u15.eset.com:80 [Duration] 142 sec [Bytes] 144/2295/2439 [Packets] 3/6/9
[08/Aug/2007 18:51:37] [ID] 78596 [Rule] NAT [Service] HTTP [User] KozlovSV [Connection] TCP 10.0.0.24:1550 -> u11.eset.com:80 [Duration] 121 sec [Bytes] 144/2295/2439 [Packets] 3/6/9
[08/Aug/2007 18:51:37] [ID] 78594 [Rule] NAT [Service] HTTP [User] KozlovSV [Connection] TCP 10.0.0.24:1549 -> u13.eset.com:80 [Duration] 142 sec [Bytes] 1

Gluzer
спасибо

Подскажите а русификатор на 3 версию есть, или она толь по чешски.

Цитата:

не пойму чего делать
при попытке запустить демон скрипт завершается с ошибкой


Код:
freebsd# /usr/local/etc/rc.d/nod32d.sh start
Starting NOD32 for FreeBSD Server: nod32d/libexec/ld-elf.so.1: Shared object "libintl.so.6" not found, required by "nod32d"

Lexa111
А клиенты у тебя обновляются? Может там проблема с правами? НОД с правами SYSTEM лезет в сеть, а прав на сеть нету, вот он и на оф. сайты пытается!
Поставь в "Hacтpoйкa aвтoмaтичecкoго oбнoвлeния->Дополнительные настройки->Hacтpoйкa coeдинeния c cepвepaми лoкaльнoй ceти" не системная запись, а какойто пользователь firewall-ла что имеет право на чтение с \\firewall\nod_upd.
У меня LUS стоит на машине в сети к которой все имеют доступ по HTTP. Все машины (включая firewall) тянут обновление с зеркала через HTTP (порт 8081) и никаких проблем с доступом нету!

Добавлено:
Lexa111
Заметил в логах что один ноут все таки лазит на ЕСЕТ за базами! Там НОД не я ставил! Как только принесут в офис я посмотрю что там стоит за сервер!

Добавлено:
Lexa111
У него стоял автовыбор!

lavren

вот именно что клиенты нормально обновляются с зеркала, проблем с доступом нет! а лезут они в инет (и это видно из логов KWF) перебирая есетовские сайты обновлений, но не обновляясь, т.к. трафик там 448 байт на каждый коннект.

у меня везде все жестко прописано никаких автовыборов

попробую сейчас поставить вместо системной записи текущего пользователя в настройках подключения по локальной сети.

Lexa111
ThreatSense.NET отключен?

XenoZ

была включена это и есть причина!
спасибо!!!

Господа, второй раз вопрос задаю, прошу не забивать на него:
Цитата из шапки: "В заключении, справедливости ради, стоит отметить, что на данный момент Nod32 не обеспечивает должный уровень защиты, так как до сих пор не закрыта уязвимость, позволяющая путем простейших манипуляций с операционной системой заставить Nod32 пропускать зараженные файлы, как безвредные. Делайте выводы!!!"

Как это сделать?

Filosofem

Цитата:

Наверно nod32ra.ini. Там password_hash, его значение удали.

Мерси

George_S
Задай вопрос автору сего опуса.

Цитата:

Исправлено: cracklover, 01:52 03-09-2007

George_S
Читай подпись пользователя XenoZ ...

XenoZ
cracklover
Парни. вместо того чтоб препинатся взяли бы и удалии эту билиберду из шапки.
George_S

Цитата:

Господа, второй раз вопрос задаю

Надеюсь, что твоё любопытсво исчерпано и удовлетворено.

Нет, я всё понял, я лолвлю на лету, но непонятно что конкретно Вы имели в виду...
Просто юзаю я этот антивирус и люблю его за быстроту, а тут наезд без объяснений. Интересно, однако...

George_S
Конкретно я имел ввиду реестр и то что нод32 не защищает свои ветви, что даёт возможность крайне легкой модификации записей с последующим описанным мной эффектом.
Но даже если бы этого не было, обойти нод32 не составляет ровным счетом никакого труда.

О наболевшем. Проверил подозрительный файл на www.virustotal.com. 7 продуктов его опознали. Выслал файл есетовцам 3.09 - нулевая реакция.

Собственно файл: http://webfile.ru/1519985. Password: 123.