Crowdstrike 推送了一个错误的内容文件,导致全球中断。很多其他地方都对此进行了详尽的报道,因此我就不多说了。
我感兴趣的是,公司延迟自动更新的政策是否能够遏制中断。
Crowdstrike 可以设置策略,将 Falcon 传感器版本限制为 n-1、n-2 甚至特定版本。因此,您可以指定测试组获取最新的传感器版本,并指定生产组获取稍早的版本。
这是用于其他类型修补的常见做法,例如 Windows 更新。我知道信息安全产品的速度必然更快,但也许某种形式的审查是可能的。
导致问题的文件被归类为“内容文件”,因此传感器更新策略可能无法阻止它。
另一方面,Dave Plummer 的 Youtube 视频表明 Crowdstrike 正在使用内容更新来修补传感器代码,而无需每次都经过 Microsoft 的驱动程序审批流程。而且传感器版本号似乎确实增长得相当快。因此,这些政策也有可能控制内容更新。
那么,我们可以说,如果 Crowdstrike 客户在批准在公司内部全面发布之前,已经建立了一个程序来针对传感器更新测试机器,那么中断就可以控制在测试组中吗?
安装 Modoboa(开源邮件托管)后,我尝试启动 clamav-daemon,但遇到启动条件失败。
systemctl status clamav-daemon.service
clamav-daemon.service - Clam AntiVirus userspace daemon
Loaded: loaded (/lib/systemd/system/clamav-daemon.service; enabled; vendor preset: enabled)
Drop-In: /etc/systemd/system/clamav-daemon.service.d
└─extend.conf
Active: inactive (dead)
Condition: start condition failed at Fri 2021-01-15 04:19:06 EST; 33min ago
└─ ConditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc} was not met
下面显示了问题,conditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc} 不满足。我无法使用 systemctl 或其他命令启动服务。经过一些故障排除后,我发现 /var/lib/clamav 是空的,应该有一些 .cvd 更新文件。此外,我无法使用此命令更新 clamav(显示 403 错误):
sudo clamav-freshclam
我现在能做什么?
我的服务器每天都会受到来自数千个 IP 地址的攻击。我有个主意。我可以举报那些恶意IP地址,或者利用资源赚钱吗?如何?
您可能认为这些攻击在 Internet 上很常见。但是对我的服务器的攻击有点特殊。它们每天都来自成千上万个不同的 ip。他们试图登录我的盒子(但失败了)。最不常见的是每个 ip 只进行几次尝试,然后其他 ip 继续。如果这种情况继续下去,我想我可以捕获世界上相当多的受感染计算机。
不要将您的想法限制在将这些 ip 报告到某个地方。这绝对是一个以我还不知道的方式赚钱的好资源。
反对票使我无法在这里提出新问题。各位访客能否为这个问题投票以帮助我摆脱限制?我诅咒那些失望的选民。
谢谢!
请参见上面的屏幕截图。
当用户尝试从经常使用的供应商网站下载 .exe 时,会出现此病毒警告。这只是几天前开始的。据我所知,我们的防火墙设备上没有任何内容过滤/A/V 规则,供应商域也被列入白名单。我认为可能是 Windows 防御者阻止了它,但我找不到将下载列入白名单的位置,我只能为机器上已经存在的文件/程序添加例外。这是否被某种组策略阻止?
此问题影响网络上的所有 PC 和所有用户。它是 Server 2012R2 域级别的 Windows 10 pro 环境。
如果有人看到此错误消息或知道它来自哪里,您能指出我正确的方向吗?我想将文件列入白名单或删除/编辑过滤器。
编辑:防火墙设备是 Meraki Mx64。AMP 已禁用。
我可能误解了如何使用clamd。我的情况是,我的媒体服务器功能不够强大,无法扫描文件以及托管它正在运行的其他服务(树莓派)。当我浏览 clamd.conf 和手册页时,似乎有一个选项可以让 clamd 监听指定的 IP 地址和套接字。有没有办法将文件从远程文件服务器流式传输到另一台运行 clamd 的机器上进行扫描?
我也遇到过这种“远程蛤蜊扫描”,尽管它甚至在代码中指出
您必须使用本地套接字来扫描本地文件
(它也被设计为一次扫描一个文件,而不是一个很好的目录)
尽管sandroid指出了类似的问题,但这里已经提出了类似的问题
Clamd 坐下来听取有关需要扫描哪些文件的指令,即它通过 TCP 接收的通信。我们需要知道它如何访问要扫描的邮件文件...
那么,clamd 不支持远程文件扫描吗?如果不是,那么扫描远程文件的最佳方法是什么?我可以临时对文件进行 rsync 并扫描它们或将 raspbian 配置为文件服务器并将其安装到我托管 clamd 服务的机器上。如果有更好的建议,将不胜感激。
我正在考虑开始在 Windows 10 上广泛使用 Windows Defender 防病毒软件,所以我正在寻找有没有办法从运行 Windows 10 Defender 的机器上获得反馈?
如果可以通过控制台在 Windows 10 上控制 WD 也很好,但我认为这是通过组策略完成的。
我每周在我的服务器上运行一次 clamav 扫描。有一台带有 30TB 磁盘空间的 raid6 集群的服务器,其中运行扫描需要超过 24 小时。
所以我想知道如何利用服务器拥有的几个内核在整个文件系统上运行 clamscan?服务器具有良好的 i/o 容量,我希望扫描速度与硬件一样快。
我知道 的--multiscan参数clamdscan。我对 clamdscan 的主要问题是它无法处理clamav用户无法访问的文件,而且似乎不鼓励以 root 身份运行守护进程。
我看到有些人正在使用并行来实现这一点,但我找不到一个可以真正扫描整个文件系统的干净命令。
我们有一个仓库和 4 个其他陈列室位置。所有 4 个位置都通过 VPN 连接到仓库。如果我们为每个位置配备一个守卫并通过 VPN 连接。是否有必要在所有位置获得全面的安全性,或者是否可以将其配置为在仓库通过 VPN 监控每个位置?做到这一点,我们只需要 1 个 Total Security 而不是 5 个。
我在我的网站上运行了一个恶意软件扫描程序,它将一堆压缩的 EXE 文件标记为潜在的风险文件(这些文件是由用户上传的)。由于我能够在我的 Mac 上解压缩文件,我假设这些是真正的 ZIP 文件,而不仅仅是重命名的 PHP 文件。
所以 ZIP 文件不应该对我的网络服务器有任何风险,对吧?
我们购买了用于 PCI 合规性的网络和软件解决方案:TrustWave。我们开始安装防病毒软件,但意识到正在安装它的机器上不需要它,因此想要安装不同的解决方案。
该程序的有人值守卸载工作正常。无人值守的安装不是很干净。虽然它支持静音开关,但它本身的大部分内容都被抛在了后面。我已经编写了大部分脚本,但有一部分我遇到了问题:Windows 仍然认为该软件是作为防病毒产品安装的。看看如何确认这来自WMI
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct
我很难找出如何擦除这些信息。搜索只会让我找到有关安装或删除已完成的整个防病毒产品的解决方案。
有没有办法专门写入这个命名空间(或等效的注册表),以便 Windows 忘记它已经安装?我意识到这个请求可能被视为恶意请求。
安装其他防病毒软件很可能会解决此问题,但有些机器将在没有的情况下运行,因此此信息仍然有用。