Dirk Schneider scribbled on 20.01.2005 10:11:
Meinst Du "embedded objects" und Downloads?
Nein. Ich meine bspw. zip Dateien, welche aus dem Internet heruntergeladen werden
Also, ich nenne sowas "Download" ... ;-)
Geschenkt ... aber ge-download-ed macht optisch eher Augenprobleme ;) [...]
Ja, klar. Aber das ist "_content_ filtering", und _nicht_ "_virus_ scanning".
Diese Trennung geht so aus der Konfigdatei nicht hervor ... aber s. u. [...]
Nochmal: Wir haben das "_content_ filtering" komplett abgeschaltet. Und trotzdem werden Download-Dateien nach _Viren_ gescannt. Das eine (Content) hat mit dem anderen (Viren) erstmal nichts zu tun.
Das kann ich nun bestätigen!
Zum Testen habe ich bspw. die aktuelle AV-Definitionen von Symantec (http://definitions.symantec.com/defs/20050119-017-i32.exe) heruntergeladen (.exe ist gestattet). [...] Es wird nichts bzgl. der heruntergeladenen Datei geloggt ...
Hab's eben mal ausprobiert. Bei uns wird's gescannt. Und auch geloggt:
Scanned <...>/fileZciw10, 6201831 bytes, url http://definitions.symantec.com/defs/20050119-017-i32.exe in 0 seconds
Mich verwundert halt nur, daß kein entsprechender Eintrag ins Logfile gemacht wird - und daraus resultierte nun einmal die Frage, ob überhaupt herunterzuladende Dateien überprüft werden.
Naja, dann ist irgendwo doch noch eine Einstellung faul. Denn prinzipiell funktionieren tut's.
Am besten probierste es mal mit dem eicar-File (www.eicar.com, dann das eicar-Ding runterladen). Da siehste recht schnell, ob's ausgefiltert wird, oder eben nicht.
Das war ein sehr guter Tip! Ich wußte gar nicht, daß es dort auch eine Testdatei gibt (kannte nur den automatischen Emailversanddienst). Ein download-Versuch ergab: 2005.1.20 10:22:18 - 192.168.10.100 http://www.eicar.com/anti_virus_test_file.htm *INFECTED:* GET 13632 Es werden also nur infiziert Dateien protokolliert.
Info am Rande: Hier läuft DG-2.6.1 mit dem Virus-Patch 3.1 (SuSE 8.2). Mir scheint's, dass Du eine spätere Version benutzt, denn einige Optionen und auch die Log-Einträge sind anders als bei uns.
Dansguardian 2.8.0.3 with AV patch 6.3.4 (von http://www.harvest.com.br/asp/afn/wcfp.nsf)
Gruß Dirk
Jetzt löppt et transparent ... :) -- Danke & Gruß Torsten