Обсуждение статьи тематического каталога: Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter)

Ссылка на текст статьи: http://www.opennet.ru/base/net/drweb_squid.txt.html

• Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter),Vershinin Egor, 19:11 , 11-Май-06
  • Проверка Squid трафика на вирусы используя DrWeb (squid viru...,Горыч, 10:54 , 12-Май-06
• Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter),Vershinin Egor, 19:16 , 11-Май-06
• Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter),guest, 19:35 , 11-Май-06
• Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter),alex, 20:14 , 11-Май-06
  • Проверка Squid трафика на вирусы используя DrWeb (squid viru...,Tzong, 09:56 , 12-Май-06
• Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter),dawnshade, 20:52 , 11-Май-06
  • Проверка Squid трафика на вирусы используя DrWeb (squid viru...,Tzong, 10:03 , 12-Май-06
• Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter),mix, 13:13 , 18-Май-06

Несколько дополнений:

1) Собирать статистику о вирусах можно так:
cd /var/drweb/log
grep "infected" drweb-icap.log

Если у нас установлена последняя версия модуля DrWeb-Icap, в полученных данных будет все, что нужно (вирус, дата, ресурс, ip-адрес проказника)

2) Ничего не сказано про скрипты запуска и порядок, в котором они должны стартовать:
Переходим в каталог /usr/local/etc/rc.d
Переименовываем скрипты:
mv drwebd.sh 00.drwebd.sh
mv drweb-icap 01.drweb-icap.sh
touch 02.squid.sh
Следуя документации, скрипты должны запускаться именно в этом порядке.

А так ничего, неплохая статейка :)

Спасибо за замечание. В моей версии Drweb он создавал скрипты запуска 00.drwebd.sh и 00.drweb-icap.sh. Т.е. получается:

mv 00.drweb-icap 01.drweb-icap.sh
touch 02.squid.sh

И еще кое-что:
Если вирус попал в кэш ранее (до установки DrWeb, либо вирус DrWeb не опознал (базы старые, новый вирь и т.п.), то в следующий раз клиенту вирус будет выдан из кэша Squid-а, и DrWeb никак не отреагирует.

Это малюсенький недостаток ;)

squid + dansguardian + clamav

было бы не плохо если бы автор указал какой сканер он использовал:
Dr. Web® для Unix и DOS
или
Dr. Web для файловых серверов Unix
(полное наименование продуктов с сайта производителя)

Автор использовал антивирусный пакет Dr.Web, который доступен на сайте:
http://download.drweb.com/unix

Там Вы найдёте все необходимые компненты.

Все хорошо, только автор не указал что у сквида 2,5 с икапом дичайшая утечка дескрипторов.
Да и играть в ластах в футбол (устанавливать с сырцов) не надо - икаповский патч давно, еще с STABLE13 интегрирован во фревые порты.

>Все хорошо, только автор не указал что у сквида 2,5 с икапом
>дичайшая утечка дескрипторов.
>Да и играть в ластах в футбол (устанавливать с сырцов) не надо
>- икаповский патч давно, еще с STABLE13 интегрирован во фревые порты.

Dr.Web не рекомендует использовать Squid с поддержкой ICAP, взятый с официального сайта. К сожалению, разработчики Squid не приняли все патчи, которые им направляли программисты Dr.Web. Поэтому слаженная работа drweb-icapd гарантируется только с патченным самим Dr.Web'ом Squid'ом.

как оказалось и с доктор вебовским сквидом ничего не гарантируется.

Сквид падает в дамп 10-15 раз в день
в лог идет сообщение:

2006/05/17 11:31:03| assertion failed: comm.c:648: "F->type != FD_FILE"

Техподдержка DrWeb уже месяц! чешет репу и ничего не может ответить.

squid 2.5.STABLE12 (с их сайта)
icap daemon, version 4.33 (Mar 27 2006)