Автор Тема: Вирус в образе сервера  (Прочитано 14207 раз)

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 600
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Вирус в образе сервера
« Ответ #30 : 22.10.2020 15:23:51 »
параноидальные руководители в различных организациях
Хорошо, если есть руководители которые пекутся о безопасности, а то есть и такие, для которых вообще безопасность - не главное. Лишь-бы работало...

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Re: Вирус в образе сервера
« Ответ #31 : 22.10.2020 19:34:54 »
а какова процедура  разрешения подобных ситуаций в нашей инфраструктуре?
Ну, путей несколько:
   1.Если у вас дистрибутив купленный за деньги — обратиться в техподдержку Базальта. Базальт делает официальный запрос Касперскому.
   2.Открыть багу в альтовой багзилле.
   3.Если у вас лицензионный, купленный, Касперский — обратиться в техподдержку Касперского и приложить файл.
   4.Завести багу в багзилле проекта (на апстримовом сайте). Но тут надо приложить собранный пакет. Приложить исходники использованные для сборки пакета. Указать откуда взяты исходники. Проверить и собранный пакет и исходники. Объяснить в чём дело.

Но в суровой действительности (исходя из собственного опыта):
1.— Скорее всего, получите отписку. Никто ничего проверять не будет.
2.— Не получите даже отписки. Через лет 8-10 придёт письмо, что бага закрыта по причине "дистрибутив больше не поддерживается". У меня таких писем много.
3.— Когда у меня были купленные Касперский и ДрВеб, файлы в техподдержку посылал. Ни разу никакого ответа не получил. Может в нынешних реалиях, когда их подвергли санкциям они по-другому работают...
4.— С наибольшей вероятностью, из вышеперечисленного, может сработать, но необходимо собственное весьма деятельное участие.

И, внимание, другие образы, которые содержат документацию к ядру - не срабатывают на касперском!!!
А в каких образах, конкретно, срабатывает. И в каких, конкретно, нет? Я проверял онлайновым сканером файл searchindex.js из kernel-doc-old-4.19.128-alt2.noarch.rpm, из p9.
« Последнее редактирование: 22.10.2020 19:46:17 от stranger573 »

Оффлайн gosts 87

  • Завсегдатай
  • *
  • Сообщений: 2 600
  • Дмитрий/Dmitry/德米特里/दिमित्री
Re: Вирус в образе сервера
« Ответ #32 : 22.10.2020 20:48:28 »
А в каких образах, конкретно, срабатывает.
Дык в первом-же сообщении указано:
в образе сервера p9 x64

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Вирус в образе сервера
« Ответ #33 : 22.10.2020 21:18:04 »
Техподдержка Базальт СПО не отвечает по стороннему программному обеспечению. Так что заявку надо отправлять в Лабораторию Касперского.
Андрей Черепанов (cas@)

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Re: Вирус в образе сервера
« Ответ #34 : 22.10.2020 22:02:20 »
А в каких образах, конкретно, срабатывает.
Дык в первом-же сообщении указано:
в образе сервера p9 x64
Нужно точно название пакета (с версией), достать из архива и посмотреть.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Re: Вирус в образе сервера
« Ответ #35 : 22.10.2020 22:05:30 »
Техподдержка Базальт СПО не отвечает по стороннему программному обеспечению. Так что заявку надо отправлять в Лабораторию Касперского.
Что переводится как:
При возникновении сомнений в безопасности пакетов входящих в дистрибутивы техподдержка проверкой не занимается.

Даже обращаться не пришлось. Отписка по пункту 1 уже есть.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Re: Вирус в образе сервера
« Ответ #36 : 22.10.2020 22:21:48 »
При возникновении сомнений в безопасности пакетов входящих в дистрибутивы техподдержка проверкой не занимается.

Даже обращаться не пришлось. Отписка по пункту 1 уже есть.
Если находит только Касперский, то логично вопросы задавать Касперскому. Почему надо всех подряд трясти? Вирустоталу тот файл скармливали?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Вирус в образе сервера
« Ответ #37 : 22.10.2020 22:43:52 »
Если я проверю clamav и не найду, публично извинения принесёте?
Андрей Черепанов (cas@)

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Re: Вирус в образе сервера
« Ответ #38 : 22.10.2020 23:25:02 »
Если находит только Касперский, то логично вопросы задавать Касперскому.
И да, и нет. Если одни выпустили продукт к которому возникли вопросы, а другие выпустили продукт с помощью которого возникли вопросы, логично задавать вопросы любому из производителей (или обоим). А дальше взаимодействие производителей. Но вот на этом этапе ожидаемо начинается пробуксовка или пинг-понг.

Почему надо всех подряд трясти?
Всех подряд — это если с этим в спортлото обращаться.

Вирустоталу тот файл скармливали?
На этот вопрос уже есть ответ в теме. У вирустотала вряд-ли самые строгие проверки, скорее базовые.
« Последнее редактирование: 22.10.2020 23:44:44 от stranger573 »

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Re: Вирус в образе сервера
« Ответ #39 : 22.10.2020 23:29:03 »
Если я проверю clamav и не найду, публично извинения принесёте?
Уже проверили сами. Только проверить можно и бабой машей.
Там нет оскорблений. Пакет действительно есть, и детект присутствует как минимум в двух его разных версиях. И то, что вы написали — действительно отписка.
« Последнее редактирование: 23.10.2020 00:01:38 от stranger573 »

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Re: Вирус в образе сервера
« Ответ #40 : 23.10.2020 00:17:50 »
Если одни выпустили продукт к которому возникли вопросы, а другие выпустили продукт с помощью которого возникли вопросы, логично задавать вопросы любому из производителей (или обоим). А дальше взаимодействие производителей. Но вот на этом этапе ожидаемо начинается пробуксовка или пинг-понг.
Не в этом случае. Файл из пакета ядра легко проверяется на соответствие точно такому же на kernel.org (для соответствующего ядра разумеется). Если соответствие полное, то вопрос к Касперскому. Если есть несоответствие, то уж к тому, кто выпустил дистрибутив. А то я сейчас скажу какую-нибудь фигню, её что, тоже бросаться проверять сразу? В общем сначала обоснование почему от того, кто выдал результат, иначе можно долго гадать.

Ну и эмпирически, если на kernel.org фигня попала, уж наверное шум бы стоял. Хотя, конечно, кто-то всегда бывает первым...

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Вирус в образе сервера
« Ответ #41 : 23.10.2020 08:17:36 »
Если я проверю clamav и не найду, публично извинения принесёте?
Уже проверили сами. Только проверить можно и бабой машей.
Там нет оскорблений. Пакет действительно есть, и детект присутствует как минимум в двух его разных версиях. И то, что вы написали — действительно отписка.
Цитировать
comp-core-i5-8265u tmp # freshclam
Fri Oct 23 08:12:28 2020 -> ClamAV update process started at Fri Oct 23 08:12:28 2020
Fri Oct 23 08:12:28 2020 -> *Current working dir is /var/lib/clamav/
Fri Oct 23 08:12:28 2020 -> *Querying current.cvd.clamav.net
Fri Oct 23 08:12:29 2020 -> *TTL: 1800
Fri Oct 23 08:12:29 2020 -> *fc_dns_query_update_info: Software version from DNS: 0.103.0
Fri Oct 23 08:12:29 2020 -> *Current working dir is /var/lib/clamav/
Fri Oct 23 08:12:29 2020 -> *check_for_new_database_version: Local copy of daily found: daily.cld.
Fri Oct 23 08:12:29 2020 -> *query_remote_database_version: daily.cvd version from DNS: 25965
Fri Oct 23 08:12:29 2020 -> daily.cld database is up to date (version: 25965, sigs: 4334114, f-level: 63, builder: raynman)
Fri Oct 23 08:12:29 2020 -> *fc_update_database: daily.cld already up-to-date.
Fri Oct 23 08:12:29 2020 -> *Current working dir is /var/lib/clamav/
Fri Oct 23 08:12:29 2020 -> *check_for_new_database_version: Local copy of main found: main.cvd.
Fri Oct 23 08:12:29 2020 -> *query_remote_database_version: main.cvd version from DNS: 59
Fri Oct 23 08:12:29 2020 -> main.cvd database is up to date (version: 59, sigs: 4564902, f-level: 60, builder: sigmgr)
Fri Oct 23 08:12:29 2020 -> *fc_update_database: main.cvd already up-to-date.
Fri Oct 23 08:12:29 2020 -> *Current working dir is /var/lib/clamav/
Fri Oct 23 08:12:29 2020 -> *check_for_new_database_version: Local copy of bytecode found: bytecode.cvd.
Fri Oct 23 08:12:29 2020 -> *query_remote_database_version: bytecode.cvd version from DNS: 331
Fri Oct 23 08:12:29 2020 -> bytecode.cvd database is up to date (version: 331, sigs: 94, f-level: 63, builder: anvilleg)
Fri Oct 23 08:12:29 2020 -> *fc_update_database: bytecode.cvd already up-to-date.
comp-core-i5-8265u tmp # clamscan ./usr/share/doc/kernel-doc-std-4.19.79/output/searchindex.js
/tmp/usr/share/doc/kernel-doc-std-4.19.79/output/searchindex.js: OK

----------- SCAN SUMMARY -----------
Known viruses: 8927215
Engine version: 0.102.4
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 4.96 MB
Data read: 2.34 MB (ratio 2.12:1)
Time: 14.477 sec (0 m 14 s)

Приносите извинения.
Андрей Черепанов (cas@)

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Re: Вирус в образе сервера
« Ответ #42 : 23.10.2020 08:38:34 »
Если я проверю clamav и не найду, публично извинения принесёте?
На самом деле проверка одним ClamAV не панацея. У меня с 11-ого числа есть зараза, которая тогда уже определялаь то ли пятью, то ли шестью антивирусами на virustotal, но не ClamAV. Сейчас на virustotal про неё знают уже 33 антивируса, а ClamAV, по прежнему, нет. Пример я отправлял им, да и virustotal, наверное, тоже.

Но по обсуждаемому файлу тишина.

Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 434
    • Email
Re: Вирус в образе сервера
« Ответ #43 : 23.10.2020 08:43:57 »
kernel.org
...
вопрос к Касперскому
...
тому, кто выпустил дистрибутив
   asy я сознательно пропустил только системных интеграторов, ибо народ в организациях зачастую не только логинов и паролей не знает, в глаза не видит лицензий, сертификатов и ключей к оплаченной техподдержке, но и не в курсе кто вообще их так ловко сынтегрировал.
   Остальные инстанции я вроде как перечислил, а заодно типичные реакции на подобное обращение. Причём у всех них найдутся логичные объяснения, почему обращаться надо в другое место. В альтовых техподдержке и багзилле отправят к касперскому или на kernel.org. В касперском посоветуют обратиться к сборщикам дистрибутива или на kernel.org, потому что Alt Linux к сожалению пока не поддерживается. На kernel.org порекомендуют обратиться к сборщикам дистрибутива или касперскому, потому что им лучше общаться хотя бы с мантейнерами, а не с конечными пользователями. Когда мы покупали техподдержки я этим кругом уже ходил. Если где-то сейчас что-то изменилось и у топикстартера (если у него такое желание есть) получиться пройти квадратом я только рад буду.
   То, что вряд-ли какую из этих инстанций получится расшатать на какие-то действия одним только сообщением об инциденте — это тоже можно не объяснять. Поэтому, да, надо накопать как можно больше — сравнить файлы из пакета с исходниками, сравнить исходники с местом откуда взяты, по-возможности найти пакет в котором ничего не показывает и посмотреть что скажет diff... И только потом, по результатам пробовать куда-то выходить, что может и не понадобиться вовсе.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Re: Вирус в образе сервера
« Ответ #44 : 23.10.2020 08:53:29 »
asy я сознательно пропустил только системных интеграторов, ибо народ в организациях зачастую не только логинов и паролей не знает, в глаза не видит лицензий, сертификатов и ключей к оплаченной техподдержке, но и не в курсе кто вообще их так ловко сынтегрировал.
Но почему ошибка какого-то хрена с горы (пусть это даже кто-то с именем) должна вызывать цепочку действий всех вокруг, а не его самого?