ГлавнаяФорумыБЕЗОПАСНОСТЬСетевая безопасность

HAVP ошибка 130

Изображение пользователя wusup.
Опубликовано: wusup — ср, 26/04/2006 - 05:30
Раздел:

Слишком часто выскакивает ошибка 130 (внутренняя ошибка при просмотре страницы)
Стоит HAVP v.0.74 есть ли смысл обновить до 0.79 ?

‹ SELINUX - настройка Использование nmap (nmapfe) для оценки безопасности системы ›
ср, 26/04/2006 - 05:58 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #1

Смысл есть, это однозначно. Только не пытайтесь использовать tmpfs для раздела (участка памяти, файла, монтируемого через сетевую петлю) с mandatory locks: HAVP больше не поддерживает tmpfs. Зато HAVP сейчас стал работать просто отлично: у меня на шлюзе стоит уже несколько недель - и никаких нареканий у меня к нему нет.

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

ср, 26/04/2006 - 08:40 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #2

Поставил только что... но tmpfs он поддерживает версия 0.79 брал с www.server-side.de
Посмотрим как работать будет

ср, 26/04/2006 - 08:58 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #3

Цитата:
Поставил только что... но tmpfs он поддерживает версия 0.79 брал с www.server-side.de
Блажен, кто верует. Вы попробуйте запустить HAVP и скачать что-нибудь с eicar.com (например) - будете очень сильно удивлены результатом.

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

ср, 26/04/2006 - 09:41 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #4

И какой результат должен быть?
Тестовые вирусы он находит.
Реальные вирусы на сайтах типа crack.am - тоже

ср, 26/04/2006 - 16:27 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #5

По крайней мере за день ошибок не вылетало, что радует

ср, 26/04/2006 - 17:32 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #6

А как у Вас раздел с mandatory lock'ами монтируется?
Дело в том, что я непосредственно у разработчика HAVP'а через список рассылки спрашивал, почему у меня на 2-х разных конфигурациях HAVP 0.79 не работал, и он мне сказал, что тот раздел, который у меня использовался как tmpfs, нужно отформатировать под какой-нибудь традиционной ФС (он почему-то рекомендовал ext3), что я и сделал, поле чего HAVP 0.79 действительно стал нормально работать, при чём я, как и Вы отметил высокую стабильность HAVP 0.79 - видимо, перед выходом этой версии было очень много багов устранено. К тому же радует то, что со временем в HAVP добавляется поддержкавсё новых и новых популярных антивирусов - например, недавно была добавлена поддержка NOD32 for Linux. Сегодня я заменил ClamAV на F-prot (поскольку Clam не поддерживает RAR 3.0, а в среди скачиваемых архивов у нас частенько RAR'ы попадались, на которых ClamD спотыкался, а HAVP и либо "повисал", либо отдавал повреждённый файл. Чего добиваются разработчики Clam'а, отказываясь от поддержки RAR 3-й версии "по лицензионным соображениям", я не знаю Может, тогда уж заодно дружно откажемся от прослушивания mp3 и просмотра DVD? А заодно выкинем звуковые и видео-карты на помойку...) и остался очень доволен пусть и коммерческим, но зато полнофункциональным антивирусом: F-prot сканирует RAR'ы без проблем и по-моим субъективным ощущениям отличатеся более высокой производительностью по сравнению с Clam'ом (хотя о сканере f-prot этого не скажешь) даже при том, что я собирал Clam из исходников с довольно сильной оптимизацией под архитектуру сервера. В ближайшее время, если никаких проблем с F-prot'ом не возникнет, я переведу на его использование лёгкий и безотказный антивирусный сканер проходящей через мой шлюз корреспонденции - P3Scan (очень рекомендую, вещь просто гениальная!).

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

чт, 27/04/2006 - 04:38 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #7

Цитата:
DRVTiny пишет: А как у Вас раздел с mandatory lock'ами монтируется?

tmpfs /var/tmp/havp tmpfs auto,size=100M,mand,nosuid,noexec,nodev 0 0

Цитата:
Сегодня я заменил ClamAV на F-prot (поскольку Clam не поддерживает RAR 3.0, а в среди скачиваемых архивов у нас частенько RAR'ы попадались, на которых ClamD спотыкался, а HAVP и либо "повисал", либо отдавал повреждённый файл. Чего добиваются разработчики Clam'а, отказываясь от поддержки RAR 3-й версии "по лицензионным соображениям", я не знаю

Вот блин, день начался с жалоб от юзеров, что не могут rar архивы забрать.
Пришлось havp гасить. Видимо придется искать аналоги Clam'у

Цитата:
антивирусный сканер проходящей через мой шлюз корреспонденции - P3Scan (очень рекомендую, вещь просто гениальная!).

Спасибо! посмотрим что за зверь

чт, 27/04/2006 - 04:56 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #8

Цитата:
tmpfs /var/tmp/havp tmpfs auto,size=100M,mand,nosuid,noexec,nodev 0 0
С ума сойти! У меня практически тоже самое (только без nosuid, nodev и size=256M) не работало ни черта...
Цитата:
Вот ', день начался с жалоб от юзеров, что не могут rar архивы забрать. Пришлось havp гасить. Видимо придется искать аналоги Clam'у
А Вы им, пользователям своим, объясните популярно, что архиватор RAR версии 3 - это зло, потому что у него лицензия неправильная и вообще надо пользоваться TAR'ом и GNU Zip, поскольку они под GPL идут и их можно на коленке из исходников собрать, что является очевидным признаком абсолютного технологического превосходства этой программной связки (над всеми остальными) Улыбка Шучу. Но вообще рекомендую F-prot попробовать (качайте триальную версию для Mail-серверов) - если получится достать для него (бесплатный) ключ aka crack, то меня он, пожалуй, устроил бы на все 100%, поскольку на примере сравнения коммерческого и "свободного" антивирусов я в очередной раз убедился в том, что бесплатный сыр может быть только в мышеловке...

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

чт, 27/04/2006 - 05:06 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #9

Кстати, вот как у меня выглядела ошибка при использовании tmpfs:

Цитата:

[root@localhost havp-0.79]# /usr/local/sbin/havp
Starting HAVP Version: 0.79
Testfile fcntl() failed: Resource temporarily unavailable
Exiting..

А в /etc/fstab:

Цитата:

tmpfs /var/tmp/havp tmpfs noauto,size=100M,mand,noexec 0 0

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

чт, 27/04/2006 - 05:17 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #10

Цитата:
DRVTiny пишет: Кстати, вот как у меня выглядела ошибка при использовании tmpfs:
Цитата:
[root@localhost havp-0.79]# /usr/local/sbin/havp Starting HAVP Version: 0.79 Testfile fcntl() failed: Resource temporarily unavailable Exiting..
Мне наоборот писал что нужен tmpfs... Может разработчики устали отвечать на письма Улыбка Да вот порывшись на форме нашел http://mcmcc.bat.ru/clamav_7zip.html , спасибо за то X-Cool Буду пробывать, только версия Clam уже другая. но вроде http://mcmcc.bat.ru/clamav/ - все есть. Результат отпишу.

чт, 27/04/2006 - 05:25 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #11

Цитата:
Буду пробывать, только версия Clam уже другая. но вроде http://mcmcc.bat.ru/clamav/ - все есть. Результат отпишу.
Я пытался собрать ClamAV с этими патчами для поддержки 7Zip и RAR - у меня ничего хорошего из этого не вышло (всё собралось, но RAR всё равно не сканировался). Во всяком случае стоит попробовать, - может, у Вас это получится лучше, чем у меня Улыбка

P.S. Сейчас посмотрел стоимость лицензии на F-prot для Mail-сервера на 20 человек, пришёл в состояние лёгкого трепета (250$ стоит)...

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

чт, 27/04/2006 - 17:19 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #12

Цитата:
Я пытался собрать ClamAV с этими патчами для поддержки 7Zip и RAR - у меня ничего хорошего из этого не вышло (всё собралось, но RAR всё равно не сканировался)

Собрать то собрал, только HAVP вообще вирусов не видит Улыбка
Хотя clam их находит
Пересобрал havp, через раз стал работать с tmpfs, пересобрал еще, вообще перестал работать, подмонтировал через петлю ext3,
работает, но не ловит. Через сокет clam не подключается, вылетает с ошибкой, только clamlib
В итоге вернул все как было, добавил на пока rar - файлы в белый список.
Проблема в принципе не решена.

Будем пробывать дальше...

Цитата:

P.S. Сейчас посмотрел стоимость лицензии на F-prot для Mail-сервера на 20 человек, пришёл в состояние лёгкого трепета (250$ стоит)...

Было бы просто заплатить один раз и забыть, но так ведь каждый год....

пт, 28/04/2006 - 04:34 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #13

Цитата:
Хотя clam их находит
То есть? Находит даже в RAR-архивах, созданных RAR'ом 3.х-версии? Ну, значит у Вас прогресс наметился: у меня этот Clam со всеми наложенными патчами сканировал RAR-архивы точно так же, как и обычный Clam, т.е. вообще никак.
Цитата:
Хотя clam их находит Пересобрал havp, через раз стал работать с tmpfs, пересобрал еще, вообще перестал работать, подмонтировал через петлю ext3, работает, но не ловит. Через сокет clam не подключается, вылетает с ошибкой, только clamlib
Н-да, хорошую проблему нам создали разработчики Clam. Главное интересно, что хотя 7zip - полностью открытый формат, его поддержку вроде как тоже не собираются включать в ClamAV, хотя уже сейчас многие более-менее "продвинутые" пользователи Windows (наиболее незащищённая в плане вирусной опасности категория граждан) уже давно пакуют свои архивы исключительно 7zip'ом, поскольку этот архиватор позволяет достигнуть наиболее высокой степени сжатия или минимизировать затраты памяти и сократить время упаковки для нормальных (не экстремально высоких) коэффициентов сжатия. Другое дело, что пока в Интернет 7z не нашёл широкого применения (поскольку далеко не "каждая секретарша" сможет такой архив распаковать), но, я думаю, это лишь дело времени и пока что мне не очень понятно, как сложится судьба свободного антивируса, когда окажется, что он по разным причинам поддерживает исключительно те форматы архивов (за исключением zip), которые в мире Windows встречаются крайне редко, и, соответственно, ими практически никто нигде не пользуется (gz, bz2, bz, tar.*, lha, arj).
Цитата:
В итоге вернул все как было, добавил на пока rar - файлы в белый список.
Когда придётся расстаться с F-prot'ом по причине истечения срока триальной лицензии (crack'а я для него так и не нашёл), я тоже так поступлю: внесу rar в список не подлежащих сканированию архивов. Решение это, прямо скажем, далеко не самое адекватное (кто может гарантировать, что именно в rar-архиве вирусов не будет и какой тогда вообще смысл сканировать архивы во всех остальных форматах, если заражённый exe-шник или документ Word с макросом разрушительного действия совершенно спокойно может проникнуть через шлюз в rar'е, пока что пользующемся самой высокой популярностью на просторах рунета?), но пока что иного выбора у нас нет.

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

пт, 28/04/2006 - 06:13 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #14

Цитата:
DRVTiny пишет: То есть? Находит даже в RAR-архивах, созданных RAR'ом 3.х-версии? Ну, значит у Вас прогресс наметился: у меня этот Clam со всеми наложенными патчами сканировал RAR-архивы точно так же, как и обычный Clam, т.е. вообще никак.
Да нет не работает он с RARv3 Проблема была с тем, что он вообще в связке с HAVP не видел вирусов, как оказалось из-за кэширующего прокси в DMZ, тот почему то не подхватил настройки на каскадирование.

пт, 28/04/2006 - 06:50 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #15

Цитата:
Да нет не работает он с RARv3
Т.е. я правильно понял, что Вы собрали ClamAV по инструкциям с http://mcmcc.bat.ru/clamav/, но даже этот Clam всё равно отказывается проверять RAR-архивы? Если так, то ничего удивительного: у меня та же история была: времени на сборку Clam'а со всеми патчами я угробил немеряно, а толку от этого никакого Грустный

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

пт, 28/04/2006 - 08:41 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #16

Цитата:
DRVTiny пишет: Т.е. я правильно понял, что Вы собрали ClamAV по инструкциям с http://mcmcc.bat.ru/clamav/, но даже этот Clam всё равно отказывается проверять RAR-архивы? Если так, то ничего удивительного: у меня та же история была: времени на сборку Clam'а со всеми патчами я угробил немеряно, а толку от этого никакого Грустный

Да правильно поняли. Время действительно жалко

вс, 30/04/2006 - 07:12 — DRVTiny
Изображение пользователя DRVTiny.

Re: HAVP ошибка 130 #17

Поставил ClamAV с поддержкой RAR v3 следующим образом:

$ wget http://mcmcc.bat.ru/clamav/libunrar3-3.6.1-1.src.rpm
$ wget http://mcmcc.bat.ru/clamav/libun7zip-4.30-1.src.rpm
$ wget -P$HOME/rpm/RPMS/i386/ http://mcmcc.bat.ru/clamav/clamav-0.88-1.fc4.i386.rpm
$ rpmbuild --rebuild libunrar3-3.6.1-1.src.rpm
$ rpmbuild --rebuild libun7zip-4.30-1.src.rpm
$ cd ~/rpm/RPMS/i386/
$ su
# rpm -ivhp libunrar3-3.6.1-1.i386.rpm libun7zip-4.30-1.i386.rpm clamav-0.88-1.fc4.i386.rpm
# exit
$

Всё работает! ClamD (в связке с P3Scan'ом) без проблем находит вирусы в RAR-архивах, созданных rar'ом 3.41
Сейчас ещё попробую через HAVP что-нибудь этакое закачать...

Эй, оператор-астроном,
Нет звёзд и звёздных глаз -
Есть плац, пивная, гастроном
И горы из колбас!
Марк Мерман, "Никто кино так не снимал, как Лени Риффеншталь"

вт, 02/05/2006 - 03:57 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #18

Спасибо будем пробывать.
Хотя уже вышла новая версия clamav 0.88.2, но обновлять ее не стоит ибо уязвимость такая:

Цитата:

Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки проверки границ данных в HTTP клиенте в утилите Freshclam. Удаленный пользователь может вызвать переполнение стека, если размер HTTP заголовков, полученных от Web сервера, превышает 6 KB. Удачная эксплуатация уязвимости возможна, если Freshclam используется для закачки обновления сигнатур вирусов с злонамеренного сервера (например, посредством отравления DNS кеша).

У меня лично прописаны ip-шники Улыбка

Источник http://www.securitylab.ru/vulnerability/266593.php

вт, 02/05/2006 - 08:20 — wusup
Изображение пользователя wusup.

Re: HAVP ошибка 130 #19

Угу все работает. А интересно с какими вообще архивами дружит clamav и с какими нет