Dr web server не запускается web интерфейс
Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).
В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.
При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?
Ошибка запуска Dr. WEB Guard решена
Попробовав разные методы научного тыка, я решил заострить внимание на менеджере лицензий. Файл с лицензионным ключом я выбирал в процессе установки и по идее он должен был нормально подхватиться. На деле все оказалось иначе. Файл вроде подхватился (информация о лицензионном ключе была в соответствующем окне), но тот же сканер его почему-то не видел.
Ездил сейчас на вызов к клиенту, установить лицензионный Dr.Web Security Space. Приезжаю, стоит обычный антивирус, и горит восклицательный значок, мол, защита не работает. Ну, думаю, все равно же сносить. Снес, начал ставить Security Space (к слову, на win7x64). При установке ждал около 20 минут на этапе «получение пробной лицензии», после чего оказалось, что за окном установки открылось другое, в котором надо было нажать «продолжить». Как, скажите мне, КАК я должен был догадаться, что оно там появилось. Ну да ладно, еще минут 20 пришлось ждать, пока он обновится. К слову, Касперский на таком же инете обновляется быстрее. хотя, может быть, тут базы древнее были.
Но все это лирика, итак, после установки обнаружилась проблема: все компоненты включены, кроме долбанного SpiderGuard. И, разумеется, никакиех настроек, связанных с включением, никакой кнопки «включить защиту» нигде нет. Найденное решение таково:
- Сносим антивирь стандартными средствами (через панель управления — программы и компоненты).
- Качаем с оффсайта утилиту удаления следов предыдущих установок Dr.Web`а.
- Запускаем утилиту, вводим ненавистную всеми пользователями ПО от этой конторы капчу и тискаем «удалить».
- Перезагружаем компьютер.
- Заново устанавливаем антивирь.
Все, после этих действий паучок должен работать как надо. Уверен, что эта штука спасет и от множества других проблем, которые не решаются простой переустановкой. Пользуйтесь на здоровье!
Похожие записи:
Windows 10: «Нам не удалось завершить обновления» (0x80070020) — решение проблемы
Постоянная загрузка ЦП в диспетчере задач: устраняем одну из причин
Делаем лаунчер в стиле Pip-Boy 3000 (Fallout 3) под Android
Глюк в The Elder Scrolls III: Tribunal
Стоял доктор 8 версии,через оф сайт,обновил до 9. Поработал недели две и спайдер гуард перестал запускаться автоматом после того ка комп от пыли почистил. Снёс,установил заново,такая же фигня. Опять снёс,установил уже восьму версию,такая же фигня. Не могу понять.
Ну вы же понимаете, что чистка от пыли тут не при чём?) Он вообще есть в автозагрузке? Галочка в программе стоит? И ещё, может для Веба есть какие-то софтины, которые полностью его удаляют, попробуйте.
Шутки шутками, но у меня сегодня случилось то же самое. И как ни странно, именно ПОСЛЕ ЧИСТКИ КОМПА ОТ ПЫЛИ! ))) Честное слово!)) Просто мистика какая-то) Я конечно понимаю, что чистка компа вообще никаким образом не имеет отношения к софту)) Но факт остается фактом)) Так что Валера не одинок в этом деле))
Что нужно сделать после установки свежей операционной системы на компьютер? Правильно – загрузить и инсталлировать антивирус. Без него безопасное посещение сайтов попросту невозможно. А какую программу выбрать? Хорошим решением будет купить Dr Web.
Это отечественная современная разработка, обеспечивающая надежную защиту от вирусов и богатый функционал вкупе с небольшими требованиями к характеристикам компьютера. Для ознакомления можете активировать пробную версию. Установка не потребует особых знаний: загрузили инсталлятор, запустили, подтвердили действие. Однако в процессе все же могут возникнуть трудности. Например, Dr Web не устанавливается на Windows 10. Как их устранить?
Вывод
Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.
Др Веб зависает во время установки на Windows 10
Еще одна распространенная проблема, которую стоит рассмотреть отдельно – это остановка инсталляции антивируса на ПК с системой Windows 10. Возможно такое, что во время загрузки файлов инсталлятор «зависает», что приводит к полному бездействию всей ОС. Помогает только перезагрузка компьютера. Если с операционной системой все в порядке, например, она только что установлена, файл инсталлятор правильно загружен и не поврежден, то Dr Web зависает при установке на Windows 10 по одной причине – несовместимость. Чаще всего это касается Доктора Веба версии 10. С более свежей 11 версией этой проблемы не возникает. Так что решение простое – загрузить более свежую редакцию антивирусной программы.
Мы являемся сетифицированным партнёром компании Dr.Web и имеем достаточно неплохой опыт внедрения данного антивирусного продукта у наших клиентов. Этой статьёй мы откроем небольшой цикл статей по установке и эксплутации Dr.Web в нашей практике обслуживания серверов клиентов.
1. Получение дистрибутива
Мастер скачиваний отобразит доступные для скачивания дистрибутивы продуктов Dr. Web в соответствии с указанными регистрационными данными. На этом этапе мы должны выбрать необходимые для загрузки файлы и скачать их.
В данном случае нас интересует дистрибутив сервера Dr. Web ESS для ОС Windows, отмечаем его флажком, выбираем необходимую разрядность дистрибутива и нажимаем на полученную ссылку для его загрузки.
2. Установка сервера Dr.WebES
После получения дистрибутива Dr. Web ESS приступаем к развертыванию сервера. Запускаем установщик и выполняем конфигурацию установки следуя инструкциям масетра. На первом шаге от нас требуется лишь принять лицензионное соглашение, разумеется только после того, как Вы внимательно ознакомились с ним. Ставим флажок в соответствующем поле и жмем кнопку «Далее»
На следующем шаге мастер предлагает создать новую или выбрать существующую базу данных для сервера Dr. Web ES.
- Создать новую базу данных – для создания новой антивирусной сети.
- Использовать существующую базу данных – чтобы сохранить базу данных Сервера от предыдущей установки. Файл базы данных вы сможете указать позднее
Так как в данном случае мы рассматриваем вариант чистой установки, выбираем пункт «Создать новую базу данных» и жмем кнопку «Далее».
На следующем этапе необходимо задать лицензионный ключевой файл Агента Dr.Web - agent.key полученный в процессе регистрации продукта.
- Если флаг снят, установка Сервера будет осуществляться без лицензионного ключа Агента. В этом случае лицензионные ключи должны быть добавлены после установки Сервера, через Менеджер лицензий.
- Если флаг установлен, необходимо задать в соответствующем поле путь до файла лицензионного ключа Агента.
Указываем agent.key и жмем «Далее».
Далее мастер предлагает на выбор несколько вариантов баз данных для хранения данных сервера Dr. Web. Выбираем вариант по умолчанию SQLite, если для работы сервера не предполагается использование другой СУБД и жмем кнопку «Далее».
Чтобы задать настройки сети из предустановленного набора, выберите в выпадающем списке один из следующих вариантов:
- Стандартная конфигурация предписывает использование настроек по умолчанию на основе службы обнаружения Сервера.
- Ограниченная конфигурация предписывает ограничение работы Сервера только внутренним сетевым интерфейсом – 127.0.0.1. При этих настройках управление Сервером возможно только из Центра управления, открытого на том же компьютере, а также к Серверу может подключиться только Агент, запущенный на том же компьютере. В дальнейшем, после отладки настроек Сервера, настройки сети можно будет изменить.
- Пользовательская конфигурация означает изменение следующих предустановленных настроек:
В полях Интерфейс и Порт задайте соответствующие значения для обращения к Серверу. По умолчанию задан интерфейс 0.0.0.0, это означает, что к Серверу возможен доступ по всем интерфейсам.
На следующем этапе конфигурации установки откроется окно Прокси-сервер для настройки параметров использования прокси-сервера при подключении к Серверу: Чтобы подключения к Серверу осуществлялись через прокси-сервер, установите флаг Использовать прокси-сервер.
При необходимости Вы можете задать параметры подключения к прокси-серверу:
- Адрес прокси-сервера – IP-адрес или DNS-имя прокси-сервера (обязательное поле),
- Имя пользователя, Пароль – имя пользователя и пароль для доступа к прокси-серверу, если прокси-сервер поддерживает авторизованное подключение.
- В выпадающем списке Метод авторизации выберите необходимый метод авторизации на прокси-сервере, если прокси-сервер поддерживает авторизованное подключение.
На нашем демонстрационном стенде прокси-сервер не используется, поэтому пропускам этот шаг и жмем кнопку «Далее».
Если компьютер, на котором осуществляется установка Сервера, входит в домен Active Directory, то в следующем окне будет предложено зарегистрировать Сервер Dr.Web в домене Active Directory. В процессе регистрации в домене Active Directory на DNS-сервере создается SRV-запись, соответствующая Серверу Dr.Web. В дальнейшем возможно обращение клиентов к Серверу Dr.Web через данную SRV-запись.
Для регистрации задайте следующие параметры:
В нашем случае компьютер, на котором разворачивается Сервер Dr. Web не входит в домен и нам достаточно указать Имя пользователя и Пароль для последующего доступа в панель администрирования Сервера Dr. Web.
Жмем «Далее» и переходим непосредственно к установке, нажав кнопку «Установить».
По завершению процесса установки, мастер уведомляет нас об успешной установке серверной части Dr. Web ES
3. Создание антивирусной сети
Агент Dr.Web может быть установлен на рабочие станции сети как локально, так и удаленно, в зависимости от ситуации. Разберем каждый из предложенных способов.
Локальная установка осуществляется на компьютере или мобильном устройстве пользователя непосредственно. Может производится как администратором, так и пользователем.
Удаленная установка доступна только для станций под ОС Windows и осуществляется в Центре управления через ЛВС. Производится администратором антивирусной сети. При этом вмешательство пользователя не требуется.
Рассмотрим вариант локальной установки. Для установки Агента Dr.Web на локальный компьютер нам необходимо получить дистрибутив установщика Агента Dr.Web и ключ шифрования для подключения к Серверу управления. Все необходимое мы можем получить перейдя в браузере по IP-адресу или доменному имени сервера указав порт 9081. В открывшемся web-интерфейсе нам необходимо скачать на локальный компьютер ключ drwcsd-certificate.pem и сам дистрибутив Агента из каталога Windows.
По завершению загрузки дистрибутива Агента, запускаем его установку и в первом же окне указываем ранее скаченный ключ pem. После чего жмем кнопку «Далее».
На следующем этапа установки Агента Dr. Web производится настройка доступных для установки компонентов защиты Dr. Web, путей установки и дополнительных опций. При установки Агента на серверные ОС и выборе устанавливаемых компонентов защиты неоходимо учесть следующие замечания:
- В случае установки на компьютеры, выполняющие роль терминальных серверов (в ОС Windows установлены службы Terminal Services), для обеспечения работы Агентов в терминальных сессиях пользователей установку Агентов рекомендуется осуществлять локально с помощью мастера установки и удаления программ на Панели управления ОС Windows. Удаленная установка в этом случае может привести к ошибкам в работе протокола Remote Desktop.
- На серверы, выполняющие важные сетевые функции (домен-контроллеры, серверы раздачи лицензий и т.д.), не рекомендуется устанавливать компоненты SpIDer Gate, Офисный контроль, SpIDer Mail и Брандмауэр Dr.Web во избежание возможных конфликтов сетевых сервисов и внутренних компонентов антивируса Dr.Web.
- Установка Агента на кластер должна выполняться отдельно на каждый узел кластера.
- Принципы функционирования Агента и компонентов антивирусного пакета на узле кластера аналогичны таковым на обычном сервере ЛВС, поэтому не рекомендуется устанавливать на узлы кластера компоненты SpIDer Gate, SpIDer Mail и Dr.Web Firewall.
- Если доступ к кворум-ресурсу кластера строго ограничен, рекомендуется исключить его из проверки сторожем SpIDer Guard и ограничиться регулярными проверками ресурса при помощи Сканера, запускаемого по расписанию или вручную.
После того как Вы определились с устанавливаемыми компонентами защиты, отмечаем их флажками, жмем кнопку «Ок» и в следующем окне нажимаем кнопку «Установить».
После завершения установки Агента и компонентов защиты на рабочем месте мы должны авторизовать станцию в Центре управления. Для этого в Центре управления переходим в Антивирусная сеть – Status – Newbies, выбираем появившуюся новую станцию антивирусной сети и в настройке свойств авторизуем станцию в необходимою группу. В примере используется группа по умолчанию – Everyone.
В следующей статье поделимся опытом эксплуатации данного антивирусного проудукта и попробуем "подружить" его с нашей системой мониторинга на базе Zabbix.
Если у вас возникли сложности с установкой и настройкой Dr.Web ESS - наши инженеры с радостью помогут решить эту и другие ваши задачи!
Видео эксплуатации
После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)
Вот что происходит на видео:
На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.
Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.
После этого, с помощью whoami показываем, что все действия от обычного пользователя.
Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.
Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.
Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.
Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.
Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Понравился материал?
Видео эксплуатации
После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:
На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.
Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.
Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.
Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.
Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.
После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.
Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Обновление компонентов в продуктах Dr.Web 10.0 для Windows и Dr.Web 9.0 для MS Exchange
25 февраля 2015 года
Компания «Доктор Веб» сообщает об обновлении компонентов SpIDer Agent for Windows (10.0.5.201502030), Dr.Web Security Space, Anti-virus for Windows setup (10.0.3.02100) и конфигурационных скриптов (10.0.1.02100, 10.0.1.02120, 10.0.1.02131) в продуктах Dr.Web Security Space и Антивирус Dr.Web версии 10.0, Антивирус Dr.Web 10.0 для файловых серверов Windows, Dr.Web 9.0 для MS Exchange и Dr.Web Desktop Security Suite с возможностью централизованного управления (группа продуктов Dr.Web Enterprise Security Suite версии 10.0). Для Dr.Web Desktop Security Suite также был обновлен компонент Dr.Web Enterprise Agent for Windows setup (10.0.7.02130). Обновление связано с исправлением выявленных ошибок.
В рамках Dr.Web Security Space, Антивируса Dr.Web и Dr.Web Desktop Security Suite в конфигурационных скриптах для Dr.Web Net filtering Service была устранена ошибка, возникавшая при просмотре уведомлений компонента в журнале событий Windows.
Для всех перечисленных продуктов, кроме Dr.Web Desktop Security Suite, в компоненте Dr.Web Security Space, Anti-virus for Windows setup исправлена проблема удаления продукта при ошибках работы драйвера самозащиты.
Для Dr.Web Desktop Security Suite в компонент SpIDer Agent for Windows была добавлена возможность управления остановкой и запуском функционала превентивной защиты. Также исправлена проблема отображения некорректного статуса на вкладке «Режим» при отказе соединения с Центром управления Dr.Web. В компоненте Dr.Web Enterprise Agent for Windows setup и конфигурационных скриптах исправлена ошибка перехода из однопользовательского режима в режим работы ES.
Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров.
У меня агент Dr.Web (11.0).
Ответ на мой запрос от службы технической поддержки Dr.Web :
С Вашей стороны Вы можете позвонить или написать в техническую поддержку провайдера и проинформировать их о данной проблеме. Попросить сотрудника техподдержки найти и связаться с ответственными лицами, т.е. с теми, кто занимается мониторингом и настройкой антивирусного сервера. У наших специалистов не всегда есть доступ к Антивирусным серверам провайдеров.
Как попросить сотрудника техподдержки найти и связаться с ответственными лицами ?
Будет ли рабртать услуга Dr. Web Standart(включая обновление антивирусных баз) ?
Если вам помогла статья или информация была полезной. Пожертвования.
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Подготовительные мероприятия
Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:
На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:
На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.
Для демонстрации я разработал два исполняемых файла:
Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.
Проверка исправлений
Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Возможные проблемы при инсталляции Др Веба
Конечно же, рассматривать каждую ошибку нужно на конкретном примере, поскольку ее возможный источник зависит от выбранного ПО и операционной системы. Но все же стоит подробнее изучить проблемы в целом, которые могут дать о себе знать при инсталляции антивируса.
- Конфликт с другим защитным ПО. Если на вашем ПК уже установлены антивирусные программы, то Др Веб может не завершить установку или после инсталляции не запускаться. А все потому, что он конфликтует с другими схожими программами.
- Неправильная деинсталляция. Если у вас уже был установлен Dr Web раньше, но вы его удалили, а теперь пытаетесь снова установить, то из-за остаточных файлов в системе может произойти сбой.
- Нарушения в работе ОС. Если в системе отсутствуют какие-либо файлы, то установка может быть не завершена.
Для решения данных проблем нужно выполнить действия в зависимости от источника. Если это конфликт, то сперва удалить другой антивирус. Если была неправильно проведена деинсталляция старого Др Веб, то загрузить специальные утилиты для полной очистки ПК от файлов программы, а после повторить установку. Если же имеют место проблемы в самой ОС, то нужно провести восстановление системы. Большинство проблем с Dr Web (не устанавливается, не запускается, зависает и пр.) это должно решить.
Подготовительные мероприятия
Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.
На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.
На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.
Если после обновления Dr.Web Enterprise Security отвалились агенты
Так как долго ковырялся, решил занести решение сюда. В прошлый раз было долгое решение, в этот раз тоже прошелся по этим граблям. В будущем наверняка снова пройдусь, так как задача редкая :). В общем поехали, дого запрягаю ради этого.
При обновлении. Dr.Web Enterprise Security с 6 версии на 10 и с 10 версии на 11, обязательно пройдите по пути. И исправьте дефолтные настройки.
Администрирование – Конфигурация сервера – Сеть – Транспорт – TCP/IP – установите мультикаст группу в “” или “231.0.0.1”, у меня в этом месте был указан IP сервера и соответственно ни один агент не могу подрубиться, так как они у меня в других подсетях сидят.
И я вам советую сразу записать все IP ареса в настройках доступа к группам и серверу, эти настройки при переезде с 10 на 11 версию, все теряются. И как показала реальность, эти данные и в экспорт конфигурации также не переносятся, видимо по этому и не переходят в новый конфиг.
Если вам помогла статья или информация была полезной. Благодарность, не должна знать границ.
Вывод
В результате проверки исправлений я обнаружил, что патч исправляет не саму проблему с доверенными приложениям, а только мой способ реализации данной уязвимости. Старая версия frwl_svc.exe отлично обходила ограничения. Все собранные сведения были переданы команде Dr Web. Вскоре была выпущена новая версия исправления, которая уже не обходилась моим методом.
Timeline
16.02.2021: Передача отчета в Dr.Web.
25.02.2021: Dr.Web сообщает, что данная возможность обхода firewall исправлена.
11.03.2021: Получение CVE 2021-28130.
14.03.2021: Проверка исправлений.
15.03.2021: Передача отчета в Dr.Web.
06.04.2021: Dr.Web сообщает, что данная возможность обхода firewall исправлена.
Собственно сервер не запускается веб интерфейс не доступен.
Пытался восстановить базы из бекапа но что-то не пошло, видать где-то ошибся.
Прикрепленные файлы:
Keep yourself alive
NikolayHAOS, импортируйте базу из исправного бэкапа. Тут явно видна проблема именно с базой.
КАК? тоесть какие команды.
Keep yourself alive
NikolayHAOS, можно удалить текущую базу, проинициализировать новую и importdb, вестимо.
Честно скажу я еле нашел лог.
1. Текущая база это один файл я правильно понимаю?
2. "проинициализировать новую" какиким образом где почитать?
З.Ы. вы на меня не злитесь я первый раз, а в первый раз всегда трудно :-)
Keep yourself alive
Если вам лень, то другим лень тем более
Например, вот я писал для себя памятку по переезду на другой тип базы:
Переезд на базу sqlite3
service drwcsd stop
service drwcsd exportdb /var/opt/drwcs/base.es
service drwcsd start
поменять базу на sqlite3 в веб-консоли
service drwcsd stop
service drwcsd initdb
service drwcsd importdb /var/opt/drwcs/base.es
service drwcsd start
По аналогии, думаю, можно извлечь полезную инфу. Даже если у вас венда.
Нашел справку но это про 6 версию, осталось найти подобную справку о 10.
Огромное спасибо Людмиле из тех.поддержки.
1) удалить "битый" имидж БД в DrWeb Server\var\ = удалить файлы dbinternal.dbs ( у меня он назывался по другому, но расширение имел dbs и весил 0 байт, удалил)
2) инициализировать новую базу :
drwcsd.exe initdb
Команда не выполнялась. Пишет :
Я так понимаю надо внести путь до файла в переменную Path (если я прав конечно)
Но я решил проще, указал весь путь до файла.
"C:\Program Files\DrWeb Server\bin\drwcsd.exe" initdb
3) если есть бэкап , то вот на этом шаге провести импорт резервной копии базы из бэкапа:
drwcsd.exe importdb "C:\Program Files\DrWeb Server\var\backup\что-то-там\database.gz"
"C:\Program Files\DrWeb Server\bin\drwcsd.exe" importdb "C:\Program Files\DrWeb Server\var\backup\20150708023000004\database.gz"
Из платных антивирусов я долгое время предпочитал Dr.WEB. Работал он всегда шустро, и ложных срабатываний было минимум. Поскольку сам ни разу не обжигался с этим продуктом – без задней мысли рекомендовал его всем своим знакомым. Все было хорошо, но вот 9-ая версия паучка-спасителя, откровенно говоря, разочаровала. Друг поменял свой офисный компьютер и попросил установить ему Windows и антивирус. На все продукты были лицензии, поэтому я сразу пошел на сайт Dr.Web и загрузил последнюю версию (9-ю) антивирусного пакета.
Установка прошла быстро и никаких глупых вопросов инсталлятор не спрашивал. Все как обычно — выбираем нужные компоненты и ждем пару минут. Радость закончилась после предложения выполнить перезагрузку. Перезагружаю компьютер и вижу, что у Dr.WEB почему то не запускается Dr. Web Guard. Недолго думая, переключаюсь в административный режим и пробую включить Guard принудительно. Система на пару секунд задумалась и Guard запустился. «Мелкий глюк» — подумал я и решил открыть Google Chrome. Вот тут и началось самое интересное.
Ни Google Chrome, ни одно другое приложение не хотели стартовать. В диспетчере процессов появлялись процессы запускаемых приложений и тут же завершались. Мыслей о том, что Dr.WEB может с кем-то конфликтовать – отпали сразу, т.к. система была чистой и ничего кроме установленного бразуера с офисом не было.
Пришлось опять перезагрузиться и вновь лицезреть предупреждающий значок агента Dr. Web. Guard опять не запустился и я больше не решился повторять попытку ручного запуска. Вместо этого я запустил браузер и принялся гуглить решение возникшей проблемы. Оказалось, что подобных трудностей у пользователей была вагон и маленькая тележка.
Я перепробовал различные решения, но ни одно из них не смогло мне помочь. В итоге я решил поэкспериментировать самостоятельно.
Читайте также: