Как вирус пролез?

0

0

Есть шлюз на ASP 11, настроен iptables, squid. Iptables дропает все INPUT syn, new, ... , которые идут из интернета, тоесть коннект извне к моему серверу запрещён!

Клиентские компы (Windows XP) настроены так, что пользователь не имеет доступа ни к дискам ни к настройкам, доступ есть только к ярлыкам на рабочем столе (игровой зал). Есть онлайн игры. В интернет ходят через squid по порту 8080, этот порт проверяется by nod32 (базы постоянно поновляются).

Собственно лажа:
Иногда на клиентские машины пролезают черви, вирусы, ... :(

Вопрос:
Как им это удаётся? Что нужно подкрутить для лучшей защиты?

Ссылка

←	Думаю, стоит ли OUTPUT дропать или нет?

не работает DNS в chroot

→

1) mail
2) removable storage
3) nod32 doesn't usually check archives and installers (use drweb, dude)

birdie ★★★★★
(22.08.06 13:14:39 MSD)

Ответ на: комментарий от birdie 22.08.06 13:14:39 MSD

1) Пользователи почту только читают, работать с файлами им запрещено
2) Использовать диски, флэшки, ... им тоже запрещено
3) Архивов у них нет (п. 1,2)

SlavikSS ★★
(22.08.06 13:32:34 MSD) автор топика

Ответ на: комментарий от SlavikSS 22.08.06 13:32:34 MSD

Дык венды же и пользователи соответствующие, чего ты хочешь? Давай доступ к почте только через веб-морды, антивирь на каждой машине (хоть какой, лишь бы базы обновлялись, да резидентный монитор был), выведи из под проверки только директории с играми.

~~Gharik~~ ☆
(22.08.06 14:35:16 MSD)

Ответ на: комментарий от Gharik 22.08.06 14:35:16 MSD

Gharik, всё описанное тобой я сделал с самого начала!

Теоретический вопрос:
Возможно ли что пользователь заходит не "левый" сайт, а там выполняется какой-нибудь скрипт, который закачивает тело вируса и запускает его?

SlavikSS ★★
(22.08.06 14:49:57 MSD) автор топика

Ответ на: комментарий от SlavikSS 22.08.06 14:49:57 MSD

хмм.. а что ж антивирус делает? :(

SlavikSS ★★
(22.08.06 14:51:10 MSD) автор топика

Ответ на: комментарий от SlavikSS 22.08.06 14:49:57 MSD

> Теоретический вопрос: > Возможно ли что пользователь заходит не "левый" сайт, а там выполняется какой-нибудь скрипт, который закачивает тело вируса и запускает его?

Может, ибо IE. Такая дыра в нем совершенно точно описывалась. Посему запрети инсталляцию любых приблуд и active-x контролов в обязательном порядке.

~~Gharik~~ ☆
(22.08.06 14:56:28 MSD)

Ответ на: комментарий от SlavikSS 22.08.06 14:51:10 MSD

> хмм.. а что ж антивирус делает? :(

А антивирус должен проверять кэш браузера, куда в первую голову ссыпаются html-ки и все остальное и убивать из него все подозрительное.

~~Gharik~~ ☆
(22.08.06 14:57:24 MSD)

Ссылка

Ответ на: комментарий от Gharik 22.08.06 14:56:28 MSD

Работа с файлами на клиентских машинах запрещена! С антивирусом я немножко ошибся, у меня работает только NOD32 IMON (интернет монитор). Почему он пропускает эти вирусы?
Или стоит поставить полную проверку системы (AMON)?

SlavikSS ★★
(22.08.06 15:06:24 MSD) автор топика

Ответ на: комментарий от SlavikSS 22.08.06 15:06:24 MSD

Конечно полную, за исключением игровых директорий и т.п.

А лозунг "Работа с файлами на клиентских машинах запрещена!" до пользователя лучше доводить установкой наждачки вместо линзы в сидюшник, и автоматическим форматированием любых сменных RW-носителей.

~~Gharik~~ ☆
(22.08.06 16:04:33 MSD)