Архив форумов ЦИТФорума

[PolAR]

Задолбали долбаные!! Извиняюсь!!!
ISTbar,ISTsvc,WebRate...,optimizer,sais, ..... еще что-то - и все в один момент. - Правдв девченка призналась, что зашли на сайт сомнительный, музыки видиш ли захотелось!! а если всем захочется???

Короче - как недопустить заражения??
Семантек с последними обновлениями, а вири эти старые ( я еще по осени от них отбывался причем на серваке - вот страху то было )

Возникла у меня идея:
1. Запретить пользователю запись в Program Files, WINNT
2. С помощью regedt32 запретить ему же запись хотя бы в HKLM\...Windows\Current version\Run

Но - если эти сволочи используют такие дыры ( в чем в обчем-то я сомневаюсь, они ведь через IE проникают, а он запущен пользователем и права имеет его же) что получают привелегированые права - то это нифига не поможет!
В общем - поделитесь соображениями и оцените мое. Вместе решать проблему веселее.
А я еще в инете про этих гадов порыскаю.
_________________
Come Together!! Right Now....

[Dic0ff]

Винду пропатчить надо на машинах клиента. В принципе для ХР наверное второго сервис пака хватит чтобы интернет оптимайзер не лез. Касперский поможет однозначно. Ну, можно в броузере клиента пооткючать всякую хрень.

[serg3263]

1. Agnutum OutPost, например.

2. В Настройки IEXplorer --> Internet Options --> Security заглянуть, можно это в политиках Домена реализовать (если такой имеется).

Расскажи подробнее, что за сеть, какой Proxy, мот чего посоветуют...

[PolAR]

1. firewall стоит, но его администрирую не я ( проято знаю что он есть и вроде более-менее жестко настроен - так по крайней мере наш админ по серверам говорил). Поскольку прокси под линукс, то по моим сведениям это наверное squid ( я слыхал что чуть ли не единственный для Linux, хотя... незаменимых вещей не бывает!)
2. В Security загляну. Если честно никогда на нее внимания не обращал считая бесполезной
_________________
Come Together!! Right Now....

[Cevas]

Ходить в нет под ограниченной учеткой...
_________________
Записался в телепаты...

[serg3263]

I. >squid

Если он есть -- тогда

1. поднять логи, особенно, разобраться, какие URL'ы запрашивали самые ламмерские компы (хосты) за период, примерно, неделю.
Поискать блок-листы (списки плохих сайтов) в нете, на сайтах
firewall'ов.

2. Админ squid'а должен внести в блок лист squid'а эит самые URL'ы, и IP тоже не забудь попросить. Можешь nslookup'ом определить.

3. Если squid не умеет блокировать по IP -- пусть Админ его пересоберет, иначе п. 2 -- филькина грамота.

Нужно squid.conf.default почитать, разобраться.

Если нет уверенности, что squid правильно соберется, нужно его компилить рядом (ни в коем сл не поверх рабочего!), затем рабочий
файл переименовать ("squid" -> "squid.old"), и создать soft link со старым именем ("squid"). Когда новый squid будет готов к работе, переделать soft link на файл нового squid'а, соответственно, остановив старый и сделав копии логов.

II. Eсли есть AD , можно в системных политиках для ламмеров настроить безопасность IE (IMHO именно из-за этой фичи я пользуюсь MSIE, и попытаться запретить использовать другие browser'ы. Mozilla тоже классно, но, когда дело доходит до загрузки другого профиля, все "нарытые" Navigation tab'ы закрывает без предупреждения...)