به طور خلاصه عدم حذف بدافزار میتواند به یکی از دلایل زیر باشد:
توضیح بیشتر در مورد هر یکی از موارد بالا و نیز روش برخورد با آن از طریق ضدویروس پادویش را در زیر مطالعه میکنید.
در صورتیکه بعد از بررسی، مشخص گردید که موضوع شما با موارد زیر متفاوت است و از نوع دیگری میباشد، لطفا با پشتیبانی پادویش جهت بررسی موضوع تماس بگیرید تا سیستم شما بررسی گردد.
برنامه PUA یا Potentially Unwanted Application که به «برنامه احتمالا ناخواسته» نیز مشهور هستند، دستهای از برنامهها است که در مرز نرمافزار سالم و بدافزار قرار دارد. این برنامهها به خودی خود بدافزار نیستند و دارای کاربردهای سالم و معقول روزمره هستند، اما به علت امکانات و قابلیتهایی که دارند ممکن است وجود آنها در سیستم ناخواسته و مضر باشد.
به عنوان مثال:
در پادویش همه تشخیصهایی که با کلمه PUA. آغاز میشوند از این دسته هستند.
در این مورد به چند صورت میتوانید برنامههای ناخواسته را حذف نمایید:
پادویش علاوه بر روشهای تشخیصی مبتنی بر امضا و شبهاجرا، دارای یک موتور هوش مصنوعی مبتنی بر یادگیری ماشین (Machine Learning – ML) میباشد که امکان تشخیص انواع جدید و ناشناخته بدافزار را که توسط هیچ ضدویروسی دیده نشدهاند را فراهم میکند. تشخیصهای مبتنی بر موتور هوشمند پادویش با نام Heur شروع شده و از نوع تشخیصهای مشکوک (غیرقطعی) محسوب میشوند.
کاربر میتواند با تغییر درجه حساسیت موتور هوشمند، میزان دقت و سختگیری آن در تشخیص بدافزارهای جدید را تغییر دهد. به نحوی که انتخاب حساسیتهای بالاتر، امکان تشخیص بدافزارهای بیشتری را فراهم میکند، اما احتمال تشخیص نرمافزارهای سالم که از روشهای فرار از مهندسی معکوس استفاده کرده یا ساختار و رفتارهای نزدیک به بدافزار دارند نیز بیشتر میشود.
به علاوه این تشخیصها نیز – مشابه برنامههای ناخواسته PUA – از نوع تشخیص مشکوک به بدافزار محسوب شده و برخورد با آنها تابع تنظیمات انجام شده در این بخش میباشد.
در پادویش همه تشخیصهایی که با کلمه HEUR. آغاز میشوند از این دسته هستند.
روش برخورد با این نوع بدافزارها مشابه روش برخورد با PUA میباشد.
در صورتی که تشخیص بدافزار در یک رسانه فقط خواندنی مانند سیدی/دیویدی، فلش فقط خواندنی، یا فولدر اشتراکی رخ دهد، طبیعتا امکان تغییر در فایل بدافزار یا حذف آن وجود ندارد. لذا در این نوع تشخیصها پادویش صرفا از اجرای بدافزار و آلودگی سیستم جلوگیری کرده (منع دسترسی Access Denied) و لاگ آن را ثبت مینماید.
تشخیصهایی که در رسانه فقط خواندنی هستند از این نوع هستند. جهت تمیز دادن این موارد از سایر لاگهای تشخیص بدافزار، به ستون DeviceID که نشانگر شناسه سختافزاری رسانه مربوطه است توجه نمایید.
در این مورد به علت اینکه رسانه فاقد امکان بازنویسی است، راهی برای رفع مساله به جز رونویسی از رسانه مربوطه وجود ندارد.
پادویش دارای امکان تشخیص بدافزارهای درون فایلهای فشرده میباشد و در حین پویش، محتویات این فایلها را پویش کرده و در صورت وجود بدافزار آن را اعلام میکند. لازم به ذکر است که بدافزارهای درون فایل فشرده در واقع بدافزار غیرزنده و آرشیو شده هستند و امکان اجرا ندارند، بلکه قبل از اجرا باید از فایل فشرده خارج شوند که در چنین صورتی بلافاصله توسط محافظت مستمر پادویش شناسایی و پاکسازی خواهند شد. لذا هدف از پویش فایلهای فشرده در واقع کشف بدافزارهایی است که در بکاپها و مانند آن آرشیو شدهاند و نیازمند یک واکنش فوری نمیباشد.
در صورتیکه بدافزاری در فایل فشرده کشف شود، پادویش برای راحتی کاربر با شرایطی امکان حذف خودکار بدافزار از درون فایل فشرده را نیز ارائه میدهد. این امکان برای انواع متداولی مانند zip و 7z تعبیه شده است و یکی از محدودیتهای آن، این است که فایل فشرده از نوع Solid نباشد. چرا که نحوه فشردهسازی فایلهای Solid به صورتی است که جهت حذف یک فایل، باید کل فایلها ابتدا استخراج و سپس دوباره فشرده شوند که ممکن است به دلایل مختلف کاری بسیار زمانبر بوده و نیاز به فضای آزاد دیسک و … داشته باشد.
در صورتیکه به هر علتی امکان حذف فایل از درون فایل فشرده به صورت خودکار وجود نداشته باشد، پادویش وجود بدافزار را اعلام کرده از کاربر در مورد نحوه برخورد کسب تکلیف میکند.
برای تمیز دادن این نوع تشخیصها، به اسم فایل درج شده در لاگ توجه کنید. تشخیصهایی درون فایل فشرده رخ دادهاند با اسم فایل، کاراکتر دو نقطه (:) و سپس مسیر درون فایل فشرده مشخص میشوند. (به عنوان مثال c:\path\file.zip:somefile.exe)
به دو روش میتوان کل فایل فشرده را حذف نمود:
ویروس (در کنار کرم و تروجان) نوع خاصی از بدافزار است که کد مخرب خود را درون فایل اجرایی سالم پنهان میکند. جهت پاکسازی ویروس، حذف فایل راهکار نبوده و منجر به حذف فایل اجرایی و از کار افتادن سیستم میشود، لذا باید کد مخرب ویروس از درون فایل اجرایی استخراج شده و طی یک عملیات پیچیده فایل سالم بازتولید گردد. ضدویروس پادویش قادر به پاکسازی کد مخرب و بازتولید فایل سالم از فایل ویروسی بوده و این عملیات را به صورت خودکار در مورد ویروسها انجام میدهد.
در مواردی، به علت وجود خطا در کد ویروس، یا اتفاقات نرمافزاری/سختافزاری، ممکن است ساختار فایل اجرایی خراب شده و به همین علت قابل پاکسازی و بازگردانی نباشد. این نوع فایلها در بسیاری موارد قابل اجرا نیز نیستند، و محتوای آنها در حدی بهم ریخته که دیگر قابل استفاده نیست. به علاوه برخی ضدویروسها هنگام پاکسازی ویروس، کلیه نشانههای ویروس را حذف نمیکنند و حتی پس از پاکسازی، امضای ویروس در این فایلها توسط سایر ضدویروسها تشخیص داده میشود. پادویش در حین پروسه پاکسازی فایل ویروسی، این نوع فایلها را تشخیص داده و در راستای حفظ اطلاعات کاربر، عملیات پاکسازی را بدون تغییر فایل متوقف میکند. در این موارد عملیات حذف فایل نیز توسط پادویش انجام نمیگیرد، چرا که فایل حاوی کد مخرب و کد سالم است، لذا صرفا از اجرای فایل و آلودگی سیستم ممانعت شده (منع دسترسی Access Denied) و تصمیمگیری درباره حذف این فایلها به کاربر واگذار میگردد.
تمام تشخیصهای از نوع ویروس با کلمه Virus. آغاز میشوند. در صورتیکه تشخیص داده شده از انواع قبلی نباشد (بر روی رسانه فقط خواندنی قرار نگرفته باشد) مشخص است که علت عدم پاکسازی مربوط به خراب شدن ساختار فایل اجرایی است. (در این موارد احتمال خوبی وجود دارد فایل اصلا قابل اجرا نباشد)
به دو روش میتوان فایل آلوده را حذف نمود:
اگر قصد ارسال لاگهای پادویش به یک نرمافزار مشاهده و آنالیز لاگ مانند Splunk را دارید این راهنما به شما کمک میکند.
قبل از استفاده از این دستورات باید با استفاده از «راهنمای راهاندازی Syslog در کنسول مدیریتی پادویش» کنسول پادویش را به Splunk متصل نموده باشید. بهتر است قبل از ادامه مقداری لاگ در نرمافزار دریافت شده باشد تا هنگام افزودن قواعد زیر، تاثیر آن را ببینید.
بسته به نسخه Splunk ممکن است روش کار اندکی متفاوت باشد، اما به طور کلی از قاعده زیر پیروی میکند:
(?<logtype>\S+) \[(?<clienttime>.*)\] Malware '(?<malwarename>.*)' found in client (?<clientname>.*) \[(?<clientip>.*)\] on path '(?<filepath>.*)', action=(?<action>.*), result=(?<result>.*)
(?<logtype>\S+) \[(?<clienttime>.*)\] (?<protection>.*) turned (?<onoff>on|off) by '(?<username>.*)' on client (?<clientname>.*) \[(?<clientip>.*)\] user (?<consoleusername>.*)
(?<logtype>\S+) \[(?<clienttime>.*)\] File '(?<filepath>.*)' restored from quarantine by '(?<username>.*)' on client (?<clientname>.*) \[(?<clientip>.*)\] user (?<consoleusername>.*)
(?<logtype>\S+) \[(?<clienttime>.*)\] Restore of file '(?<filepath>.*)' from quarantine failed by '(?<username>.*)' on client (?<clientname>.*) \[(?<clientip>.*)\] user (?<consoleusername>.*)
(?<logtype>\S+) \[(?<clienttime>.*)\] Successfuly updated by '(?<username>.*)' on client (?<clientname>.*) \[(?<clientip>.*)\] user (?<consoleusername>.*)
(?<logtype>\S+) \[(?<clienttime>.*)\] Update by '(?<username>.*)' failed on client (?<clientname>.*) \[(?<clientip>.*)\] user (?<consoleusername>.*)
(?<logtype>\S+) \[(?<clienttime>.*)\] A scan was performed on client (?<clientname>.*) \[(?<clientip>.*)\] by '(?<username>.*)'. Result='(?<result>.*)', Scanned files='(?<filecount>\d+)', Threats found='(?<threatcount>\d+)', Start Date='(?<scanstart>.*)', End Date='(?<scanend>.*)'
(?<logtype>\S+) \[(?<clienttime>.*)\] (?<action>.*) connection on client (?<clientname>.*) \[(?<clientip>.*)\] user (?<consoleusername>.*). \[Direction='(?<direction>.*)', Remote Address='(?<remoteip>.*):(?<remoteport>.*)', Local Address=':(?<localport>.*)', Protocol='(?<ipprotocol>\d+)'\]
(?<logtype>\S+) \[(?<clienttime>.*)\] Device '(?<devicetype>.*)' with ID '(?<deviceserial>.*)' connected and was '(?<action>.*)' on client (?<clientname>.*) \[(?<clientip>.*)\], user (?<consoleusername>.*)
(?<logtype>\S+) \[(?<clienttime>.*)\] IDS detected '(?<attackname>.*)' on (?<direction>.*) connection (from|to) (?<remoteip>.*) on client (?<clientname>.*) \[(?<clientip>.*)\] user (?<consoleusername>.*) and (?<action>.*) it --------------------------
شما چند کنسول مدیریتی پادویش در سازمان خود دارید که میخواهید به نوعی با یکدیگر ارتباط داشته باشند و مایلید سناریوهای مختلف ممکن جهت این ارتباط را بشناسید.
روش پیشنهادی در اتصال کنسولهای مدیریتی به صورت ساختار سلسله مراتبی (مستر/اسلیو Master/Slave) میباشد.
در این حالت تمامی امکانات زیر فعال خواهند بود:
روش پیشنهادی به مدیر کنسول بالادست اجازه میدهد کنترل کاملی روی سرورهای پاییندست خود داشته باشد. در برخی سازمانها و سناریوها، دادن چنین دسترسی کنترلی به مدیر کنسول بالادست مطلوب نمیباشد؛ اما وجود روشی برای نظارت بر کنسولهای پاییندست یا توزیع لایسنس مورد نیاز میباشد. در این حالت میتوان از راهکار دوم استفاده نمود.
در این حالت تمامی امکانات زیر فعال خواهند بود:
این راهکار در واقع یک راهکار ارتباطی نبوده و در آن تنها سرورهای مدیریتی پادویش میتوانند بهروزرسانی ضدویروس را با یکدیگر به اشتراک بگذارند. در این راهکار مفهومی به عنوان ساختار سلسله مراتبی یا Master/Slave وجود نداشته و شما صرفا کنسول را برای دریافت آپدیت از یک مسیر فولدر اشتراکی تنظیم میکنید. هر سرور میتواند از هر تعداد سرور دیگر فایل بهروزرسانی را چک کرده و جدیدترین فایل را بردارد.
در این حالت تنها امکان زیر فعال خواهند بود:
جهت پیادهسازی راهکار پیشنهادی، کافی است در کنسولی که به عنوان پاییندست (Slave) انتخاب کردهاید لاگین کرده و در بخش Change Server Settings > Server Hierarchy اطلاعات سرور بالادست (Master) را معرفی نمایید. تمامی امکانات برای شما فعال خواهد شد:
در صورتیکه تمایل ندارید کنترل کامل کنسولهای پاییندست را به مدیر کنسول بالادست بدهید، کافیست از همان روش گفته شده در راهکار قبلی استفاده کنید و سرورها را Master/Slave کنید؛ اما تنها تفاوت این راهکار در بستن پورت 13911 سرور پاییندست خواهد بود. به نحوی که سرور پاییندست پورت 13911 سرور بالادست را ببیند، اما ارتباط برعکس (Master به Slave) مقدور نباشد.
به این ترتیب تمامی امکانات به جز کنترل کنسول پاییندست فعال خواهند شد.
به صورت پیشفرض سرور مدیریتی پادویش یک فولدر اشتراکی به نام PadvishUpdate ساخته و آخرین فایل بهروزرسانی خود را در آن قرار میدهد.
بنابراین برای راهاندازی دریافت خودکار بهروزرسانی بین سرورها (در حالتی که Master/Slave پیاده نشده باشد) شما تنها به بخش تنظیمات Change Server Settings بخش Server Update Settings رفته و آدرس فولدر اشتراکی سرور مقصد را در لیست وارد میکنید. به این ترتیب سرور شما فایل بهروزرسانی را از طریق این فولدر اشتراکی دریافت خواهد نمود.
نحوه پشتیبانگیری خودکار از پایگاه داده کنسول مدیریتی پادویش چگونه است و این پشتیبانها در چه مسیری و تا چه زمانی نگهداری میشوند؟
C:\Program Files (x86)\Amnpardaz\Server\DBBackup
است.HKEY_LOCAL_MACHINE\SOFTWARE\AmnPardaz\Server
BackupSizeSoftLimitGB
از نوع DWORD
نحوه و ترتیب نمایش ستونهای جداول مختلف در کنسول مدیریتی پادویش، در پروفایل کاربری شما در ویندوز ذخیره میشود تا هر بار کنسول را باز میکنید با ظاهر و چینشی که ترجیح دادهاید کنسول را ببینید.
اگر به هر علتی قصد بازگردانی کنسول به حالت پیشفرض را دارید، کافیست این اطلاعات را در رجیستری ویندوز حذف نمایید:
regedit
را اجرا نمایید.HKEY_CURRENT_USER\SOFTWARE\AmnPardaz\Padvish Management Console\UI
ProfileSetting.0
و … خواهید دید. همه این زیرکلیدها که با عبارت ProfileSetting
آغاز میشوند را حذف نمایید.این مساله در مورد پرینترهای HP سری 11xx در مورد انواع DLPهای نرمافزاری منجمله پادویش رخ میدهد.
علت این است که درایور این پرینترها اتصال دستگاه مجازی سیدیرام خود را چک کرده و اگر متصل نباشد به خیال اینکه پرینتر به دستگاه متصل نیست اجازه پرینت را نمیدهد.
توضیح بیشتر:
این پرینترها مانند بسیاری از مدلهای دیگر، هنگام اتصال به سیستم چندین دستگاه مختلف را به سیستم معرفی میکنند. به عنوان مثال یک پرینتر/اسکنر ممکن است دستگاههای زیر را متصل کند: پرینتر، اسکنر، سیدیرام، فلش. از سیدیرام و فلش جهت نصب درایور پرینتر استفاده میشود. در این سری از پرینترهای HP، درایور پرینتر به جای تست اتصال خود پرینتر، از اتصال/عدم اتصال سیدیرام برای فهمیدن اینکه دستگاه متصل است یا خیر استفاده میکند.
از آنجاییکه این مساله در مورد انواع DLPهای نرمافزاری رخ میدهد، شرکت سازنده پرینتر درایور خود را بهروز کرده و این نقیصه را برطرف کرده است.
جهت آپدیت درایور میتوانید به سایت HP مراجعه کرده و آخرین درایور مربوطه را دانلود کنید.
در صورتیکه آپدیت درایور ممکن نبوده یا به علت گستردگی کلاینتها دشوار باشد، میتوانید دستگاه سیدیرام پرینتر را در کنترل ابزار پادویش مجاز نمایید.
برای این کار از دو روش میتوانید استفاده کنید:
مرورگر شما به سایتی متصل شده است که حاوی اسکریپت استخراج رمزارز بوده است.
امروزه برخی سایتها (حتی سایتهای فارسی، خبرگزاریها و …) بدون اجازه کاربران، اسکریپتهای استخراج رمزارزهای دیجیتال را روی صفحات خود قرار میدهند، و در نتیجه بدون اینکه شما اطلاع داشته باشید، هنگام مشاهده سایت سیپییوی سیستم یا گوشی شما درگیر شده و برای مدیر سایت درآمد کسب میکند. همچنین برخی حملات میتوانند باعث آلوده شدن یک سایت به این اسکریپتها یا روشهای دیگری شوند که در ادامه شرح داده میشود.
پادویش این نوع اسکریپتها را تشخیص داده و از بارگزاری آن روی سیستم شما جلوگیری میکند. تشخیص Miner.JS.CoinHive.a یکی از همین انواع تشخیص است که توسط سامانه جلوگیری از نفوذ (Intrusion Prevention System) پادویش تشخیص و خنثی میشود. این مولفه وظیفه محافظت از سیستم شما در برابر حملات شبکهای را برعهده دارد.
توجه کنید که در هنگام مواجه با این پیام، سه حالت کلی امکانپذیر است:
ضمنا خوب است به خاطر داشته باشید که این پیام یک تهدید یا حمله کلاسیک نیست و سیستم شما در خطر نیست. پادویش جلوی دریافت و اجرای اسکریپت استخراج را نیز گرفته و در نتیجه سیپییوی سیستم شما درگیر نیست. بنابراین – به جز حالت خاص سوم که تجهیز شبکه شما آلوده است – نیازی به کار دیگری ندارید.
این بخش برای مدیران شبکه نوشته شده است.
تجهیزات میکروتیک با شماره نسخه سیستم عامل ۶.۴۲ و پایینتر، یک آسیبپذیری خطرناک دارند (CVE-2018-14847) که به هر کسی که بتواند به پورت کنترل دستگاه متصل شود، دسترسی ادمین جهت تغییر تنظیمات دستگاه را میدهد.
در حال حاضر حملاتی در دنیا (و در ایران) در جریان است که با استفاده از این آسیبپذیری، کنترل دستگاه میکروتیک را در اختیار میگیرد و از این پس، دستگاه شما در آدرس تمام وبسایتهایی که کاربران مشاهده میکنند اسکریپت استخراج رمزارز را تزریق میکند.
سیستم جلوگیری از نفوذ پادویش، جلوی اجرای اسکریپت استخراج رمزارز بر روی کلاینت را میگیرد. اما کنترل میکروتیک شما میتواند تبعات جدیتری به دنبال داشته و باعث اختلال یا هک کامل شبکه شما شود و باید هرچه سریعتر برطرف گردد:
در کنسول مدیریتی پادویش، در بخش Logs and Reports > Server Logs
لاگهایی با MessageID=9 با پیام Unregistered client (%computerName%) login rejected
مشاهده میکنید. مفهوم این پیام و نحوه برخورد با آن در ادامه توضیح داده شده است.
برای درک مفهوم پیام و شرایط رخداد آن باید با مفهوم رجیستر و اتصال کلاینت آشنا شوید.
هر کلاینتی که به سرور مدیریتی پادویش متصل میشود باید قبلا در سرور رجیستر شده باشد. این کار به صورت خودکار در شرایط زیر انجام میگیرد:
برای کلاینتهایی که به صورت نصب از راه دور نصب میشوند، یا از فایل کانفیگ rgc استفاده میکنند در همان زمان نصب انجام میگیرد. برای کلاینتهایی که به صورت دستی و از طریق مدیریت مجوز به سرور اضافه میشوند نیز در زمان اولین اتصال به سرور این کار انجام میگیرد.
پس از این، هر بار که کلاینت به سرور متصل میشود (مثلا پس از ریستارت سیستم) در ابتدا خود را – با توجه به رجیستر قبلی – به سرور معرفی میکند. اگر کلاینت در سرور رجیستر شده و در دیتابیس سرور موجود باشد این اتصال موفقیت آمیز بوده و پیام MessageID=8 با محتوای Client %computerName% connected.
ثبت خواهد شد.
اما اگر کلاینت برای سرور ناشناس باشد پیام MessageID=9 یعنی Unregistered client (%computerName%) login rejected
در لاگ ثبت شده و سرور اتصال را قطع میکند.
بنابراین این پیام در شرایطی رخ میدهد که کلاینت فکر میکند لایسنس تحت سرور شما فعال است، ولی سرور کلاینت را در لیست خود نمیشناسد. چنین اتفاقی ممکن است در یکی از حالات زیر رخ دهد:
در این شرایط منطقی است که کلاینت مجددا به کنسول مدیریتی پادویش افزوده شود. این کار قاعدتا به اجازه شما به عنوان مدیر کنسول نیاز دارد و از یکی از طرق زیر قابل انجام است:
سادهترین روش حل مساله این است که از روی سرور مدیریتی پادویش بر روی کلاینتهای یتیم یکبار Push Install انجام دهید. این کار با انتخاب سیستمها در بخش Discovered Computers و کلیک راست روی نام سیستم یا ساخت جداگانه یک تسک Push Install قابل انجام است.
اگر پای سیستم کلاینت هستید میتوانید در بخش مدیریت مجوز استفاده، گزینه غیرفعالسازی را انتخاب کرده و سپس کلاینت را مجددا تحت سرور مدیریتی فعال نمایید.
این روش هنگامی که تعداد کلاینتهای یتیم بالا بوده و امکان Push Install نیز وجود ندارد کاربرد دارد. در این روش شما سرور مدیریتی را طوری تنظیم میکنید که به محض رویت کلاینت جدید آن را بدون احراز هویت به دیتابیس خود اضافه کند. در نتیجه توصیه میشود که این روش به مدت محدود استفاده شده و بعد از رفع مشکل تنظیمات را به حالت اول بازگردانید.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AmnPardazServerWinService
بروید.ImagePath
دوبار کلیک کنید./import_eps
(برای ضدویروس پادویش نسخه امنیت پیشرفته یا امنیت کامل) یا/import_pcp
(برای ضدباجگیر پادویش) را اضافه کنید.
"C:\Program Files (x86)\AmnPardaz\Server\x64\AmnPardazServer.exe" /import_eps
نکته: دقت کنید که این راهکار فقط در صورتی قابل استفاده است که شما بکاپ سرور مدیریتی خود را داشته و برگردانده باشید. اگر بکاپ سرور مدیریتی را نداشته و آن را از دست دادهاید و اکنون یک سرور مدیریتی جدید راهاندازی نمودهاید، فقط میتوانید از یکی از راهکارهای اول و دوم استفاده نمایید.
علت این مساله این است که کلاینتها سرور مدیریتی را با کمک کلید عمومی آن شناسایی مینمایند که در دیتابیس سرور وجود دارد. اگر این کلید از دست برود، کلاینتها سرور مدیریتی جدید را شناسایی نکرده و به همین علت تحت آن اضافه نخواهند شد و فرامین آن را نمیپذیرند.
علت این اتفاقات این است که گزینه «Prevent applications from changing DNS settings(Not Recommended)
» اشتباها روی سرور ضدویروس شما فعال شده است.
کاربرد این گزینه جلوگیری از تغییر تنظیمات DNS در روی کلاینتها میباشد، تا از دستکاری غیرمجاز تنظیمات توسط کاربران یا برنامهها جلوگیری شود. (به عنوان مثال برخی برنامههایی که به عنوان نرمافزار رایگان از اینترنت قابل دریافت هستند بدون اجازه کاربر تنظیمات وی را تغییر میدهند و موجب عدم اتصال وی به پورتالهای سازمانی میشوند) با توجه به کارکرد آن، این گزینه فقط باید در شبکههایی که از تنظیمات آیپی غیرخودکار (شبکههای بدون DHCP) استفاده میکنند فعال شود.
همانگونه که در توضیحات این گزینه آورده شده است، فعال کردن آن بدون رعایت پیشنیازها میتواند جلوی عملکرد DHCP و موارد مشابه (مانند دریافت IP در اتصال VPN) را بگیرد و حتی موجب اختلال در اتصال کلاینتها به شبکه گردد.
Change Client Settings > Padvish Antivirus
را انتخاب نمایید.Firewall and IPS
بروید.Prevent applications from changing DNS settings(Not Recommended)
را غیرفعال نمایید.OK
ببندید.جدول زیر شامل کد پیغامهایی است که در بخش Server logs در کنسول مدیریتی/نظارتی پادویش قابل مشاهده است.
Message ID | Message |
---|---|
1 | IP discovery manager started. |
2 | Active directory discovery manager started. |
3 | Agent not found at path “%agent%”. |
4 | Impersonate logged on user failed for account %domain%\%user% with error: %win32ErrorCode%. |
5 | Discovering %target% failed with error: %win32ErrorCode%. |
6 | Discovering %target% succeeded. |
7 | Active directory login of user %user% failed on %domain% with error: %win32ErrorCode%. |
8 | Client %computerName% connected. |
9 | Unregistered client (%computerName%) login rejected. |
10 | Console login with user %username% accepted. |
11 | Console login with user %givenUsername% rejected, %rejectReason%. |
12 | Unidentified client disconnected. |
13 | Client %clientName% disconnected. |
14 | Console logout of user %username%. |
15 | Client %clientName% removed by user %username%. |
16 | Report %reportName% removed by user %username%. |
17 | Signature version %version% added by user %username%. |
18 | Default config of client type %clientType% changed on group “%groupName%” by user %username%. |
19 | Serial number %serialNumber% activated online by user %username%. |
20 | Serial number %serialNumber% activated offline by user %username%. |
21 | User %addedUsername% added by user %username%. |
22 | User %removedUsername% removed by user %username%. |
23 | User %updatedUsername% updated by user %username%. |
24 | Group %groupName% added by user %username%. |
25 | Group %groupName% updated by user %username%. |
26 | Group %groupName% removed by user %username%. |
27 | Client %clientName% moved from group %oldGroupName% to group %groupName% by user %username%. |
28 | Padvish antivirus password changed on group %groupName% by user %username%. |
29 | Push install failed because agent type “%agentType%” was not supported. |
30 | Begin discovery from active directory settings. |
31 | Starting to discover computers from domain %domain% on dc %domainController%. |
32 | Finished discovering computers from domain %domain% on dc %domainController%. |
33 | Auto install manager started. |
34 | Starting to discover IP range %target%. |
35 | Finished discovering IP range %target%. |
36 | Going to discover single IP %target%. |
37 | Begin discovery from IP settings. |
38 | Starting to discover IP subnet %target%. |
39 | Finished discovering IP subnet %target%. |
40 | Login of user %domain%\%user% to share %share% failed with error %win32ErrorCode%. |
41 | Login of user %domain%\%user% to share %share% succeeded. |
42 | Install agent [%agentName%] failed. %agentResult%. |
43 | Install agent [%agentName%] succeeded. |
44 | Could not create agent config file in %configPath%. |
45 | Copy of %source% to remote %destination% failed with error %win32ErrorCode%. |
46 | Could not create service %serviceName% on %computerName% with error %win32ErrorCode%. |
47 | Could not delete service %serviceName% on %computerName% with error %win32ErrorCode%. |
48 | Could not open service %serviceName% on %computerName% with error %win32ErrorCode%. |
49 | Preparing to create service %serviceName% with path %servicePath% on %computerName%. |
50 | Could not query service %serviceName% on %computerName% with error %win32ErrorCode%. |
51 | Could not connect to remote service manager with error %win32ErrorCode%. |
52 | Service %serviceName% already running on %computerName%. |
53 | Could not start service %serviceName% on %computerName% with error %win32ErrorCode%. |
54 | Scheduling %computerName% for automatic installation of product type %productType% because of rule %ruleName%. |
55 | Automatic install rule %ruleName% ignored for %computerName% because of field [%fieldName%]. |
56 | Going to check if product %productType% needs to be install on %computerName% due to rule %ruleName%. |
57 | Agent [%agentName%] successfully started on %computerName%, waiting for results. |
58 | Discovery from IP settings cancelled. |
59 | Discovery from active directory settings cancelled. |
60 | Discovery from IP settings finished. |
61 | Discovery from active directory settings finished. |
62 | Going to push install product %productType% on %computerName%. |
63 | Failed to read push install agent [%agentName%] result file at %path% with error %errnostr% (%errno%). |
64 | Failed to read discovery result file at %path% with error %errnostr% (%errno%). |
65 | Cleanup completed for “%recordType%”: %deletedsCount% records older than %thresholdValue% days were removed. Current record count is %remainingsCount% |
66 | Cleanup failed for “%recordType%”, records older than %thresholdValue% days should be removed. Current record count is %remainingsCount% |
67 | Supervisor server certificate was received and stored from %IP% Thumbprint: %thumbprint% |
68 | Supervisor server connection was attempted and rejected from %IP% and the reject reason is %reason%, Thumbprint: %thumbprint% |
69 | Supervisor server connection was accepted from %IP% Thumbprint: %thumbprint% |
70 | Supervisor server certificate (%removingTime%) was removed. Thumbprint: %thumbprint% |
72 | Connected to management server. |
73 | Management server certificate thumbprint mismatch. Expected: %expectedThumbprint%, Got: %gotThumbprint% |
74 | Management Server certificate was removed. Thumbprint: %thumbprint% |
75 | Management server certificate was received and stored. Thumbprint: %thumbprint% |
76 | Account password changed by user %username%. |
77 | Connection to management server %serverAddress% has been deleted by %adminName%. |
78 | New connection to management server %serverAddress% created by %adminName%. |
79 | Unable to connect to Management Server. (error code: %connectionErrorCode% – %connectionErrorMessage%) |
80 | Remote uninstall of %productName% on %clientName% requested by %adminName%. |
81 | Client %computerName% registered by user %username%. |
82 | Client %computerName% requested to be unregistered. |
83 | Signature version %version% activate by user %username%. |
84 | Signature version %version% staged by user %username%. |
1000 | Successfully registered slave server %serverName%, Slave Thumbprint: %slaveThumbprint% |
1001 | Slave server %serverName% registration failed, Error: %errorText%, Slave Thumbprint: %slaveThumbprint% |
1002 | Slave server %serverName% successfully connected |
1003 | Slave server %serverName% login failed, Error: %errorText% |
1004 | Slave server %serverName% disconnected |
1005 | Slave server %serverName% unregistered, Slave Thumbprint: %slaveThumbprint% |
1006 | Slave server %serverName% unregister failed, Error: %errorText%, Slave Thumbprint: %slaveThumbprint% |
1007 | Slave requested update for timestamp %timestamp%, Result: %resultText% |
1008 | Slave upgrade from %slaveVersion% to %targetVersion% failed, Reason: %reason$ |
1009 | Slave is already up to date with version %targetVersion% |
1010 | Slave upgrade from %slaveVersion% to %targetVersion% requested by %username% |
1011 | Upgrade file sent to slave. |
1012 | Received and executed an upgrade file for Padvish Management Server. |
1500 | Successfully registered under master server %serverAddress%, Master Thumbprint: %masterThumbprint% |
1501 | Cannot register under master server %serverAddress%, Error: %errorText% |
1502 | Successfully logged in to master server %serverAddress% |
1503 | Login to master server %serverAddress% failed, Error: %errorText% |
1504 | Successfully changed master server address from %oldServerAddress% to %newServerAddress%, Master Thumbprint: %masterThumbprint% |
1505 | Master server address change from %oldServerAddress% to %newServerAddress% failed, Error: %errorText% |
1506 | Disconnected from master server %serverAddress% |
1507 | Successfully unregistered from master server %serverAddress% |
1508 | Forcefully unregistered from master server %serverAddress% |
1509 | Unregister from master server %serverAddress% failed, Error: %errorText% |
2500 | Supervisor server disconnected.Thumbprint: %thumbprint% |
در این سند ماژول Syslog در کنسول مدیریتی پادویش و تنظیمات و امکانات موجود در آن تشریح شده است.
پس از مطالعه این سند، خواننده معماری این ماژول را درک نموده و قادر خواهد بود که کنسول مدیریتی پادویش را برای ارسال لاگ مطابق پروتکل Syslog به یک لاگسرور یا سامانه SIEM و مانند آن پیکربندی کند. همچنین لیست پیغامهای ضدویروس پادویش به همراه شیوه پردازش آنها در انتهای سند آورده شده است.
پروتکل Syslog پروتکل ارسال و جمعآوری لاگهای متنی از انواع تجهیزات مختلف در شبکه است. این لاگها میتوانند همه نوع محتوایی از عملکرد سیستم، رخدادهای ارتباطی، وقایع امنیتی و غیره را در بر بگیرند و اصولا پیغامهایی متنی با اندکی فراداده ثابت (مانند تاریخ و محل و درجه اهمیت رخداد) هستند که برای هر تجهیز یا سامانه باید مطابق الگوی خاص آن پردازش شوند.
پیشفرض پروتکل Syslog ارسال پکت از نوع UDP بر روی پورت 514 است ولی انواع دیگر مبتنی بر TCP و رمزنگاری نیز دارد. در حال حاضر کنسول مدیریتی پادویش از ارسال اطلاعات مبتنی بر UDP پشتیبانی میکند.
از آنجاییکه هدف این پروتکل جمعآوری کل اطلاعات در یک محل واحد و پردازش آنهاست، قبل از ادامه باید شما یک Syslog Server یا سامانهای که قابلیت دریافت این پیغامها را داشته باشد در شبکه خود مستقر کرده و یک IP و آدرس مشخص قابل دسترس برای آن تعیین کرده باشید.
با انجام تنظیمات زیر در سرور مدیریتی پادویش، میتوانید این لاگها را که شامل رخدادهای سیستمهای کلاینت است را از طریق پروتکل Syslog دریافت نمایید.
مکانیزم ارسال به این شکل است که کلاینتهای پادویش مرتبا گزارشها و لاگهای خود را به سرور مدیریتی پادویش ارسال میکنند. به محض دریافت این لاگها، سرور مدیریتی لاگ را به فرمت مناسب توسط پروتکل Syslog به یک یا چند سرور ارسال میکند. بدین ترتیب کلاینتها به صورت مستقیم با سرور Syslog در ارتباط نیستند و تنها لازم است سرور مدیریتی پادویش قادر به ارسال پکت به سمت این سرور باشد.
جهت انجام تنظیمات، باید یک فایل log.cfg در مسیر اصلی نصب سرور پادویش – معمولا C:\Program Files (x86)\Amnpardaz\Server\log.cfg
– ایجاد نموده و تنظیمات زیر را در آن انجام دهید:
rootCategory=DEBUG,Syslog appender.Syslog=SyslogAppender appender.Syslog.syslogName=Padvish appender.Syslog.syslogHost=192.168.0.1 appender.Syslog.portNumber=514 appender.Syslog.facility=1 appender.Syslog.layout=PatternLayout appender.Syslog.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n
در این تنظیمات آیپی سرور syslog و پورت مربوطه (پیشفرض 514 استاندارد) جهت دریافت لاگها قابل تغییر است.
در موارد معدودی که نیاز به ارسال لاگ به صورت همزمان به چندین لاگ سرور مقصد باشد میتوان از تنظیمات به شکل زیر استفاده نمود و تعداد سرورهای جدید را معرفی نمود:
rootCategory=DEBUG,Syslog1,Syslog2 appender.Syslog1=SyslogAppender appender.Syslog1.syslogName=Padvish appender.Syslog1.syslogHost=192.168.0.1 appender.Syslog1.portNumber=514 appender.Syslog1.facility=1 appender.Syslog1.layout=PatternLayout appender.Syslog1.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n appender.Syslog2=SyslogAppender appender.Syslog2.syslogName=Padvish appender.Syslog2.syslogHost=192.168.0.2 appender.Syslog2.portNumber=514 appender.Syslog2.facility=1 appender.Syslog2.layout=PatternLayout appender.Syslog2.layout.ConversionPattern=1 %d{%Y-%m-%dT%H:%M:%S,%lZ} PadvishManagementServer PMS - - - %-5p %c{2} %m%n
همانند اکثر محصولات، پیغامهای Syslog در کنسول مدیریتی پادویش با قالبی ارسال میشوند که برای کاربران و مدیران شبکه قابل فهم باشند. جهت پردازش ماشینی لازم است این پیغامها parse شوند.
در ادامه لیست مجموعه این پیغامها به همراه نکات مربوط به آنها خواهد آمد:
انواع پیغام های سرور پادویش | نوع لاگ | |
---|---|---|
1. | [%datetime%] Malware '%malwarename%' found in client %computername% [%ip%] on path '%malwarepath%', action={Ignore/Delete/Quarantine/Disinfect/Deny}, result={Fail/Success} |
تشخیص بدافزار |
2. | [%datetime%] Device Control turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش کنترل ابزار |
3. | [%datetime%] Device Control turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
4. | [%datetime%] Firewall turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش فایروال |
5. | [%datetime%] Firewall turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
6. | [%datetime%] File '%filepath%' restored from quarantine by '%username%' on client %computername% [%ip%] user %consoleusername% |
بازگرداندن فایل از قرنطینه |
7. | [%datetime%] Restore of file '%filepath%' from quarantine failed by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
8. | [%datetime%] System Guard turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش محافظت مستمر |
9. | [%datetime%] System Guard turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
10. | [%datetime%] Successfuly updated by '%username%' on client %computername% [%ip%] user %consoleusername% |
بروزرسانی پایگاه امضا |
11. | [%datetime%] Update by '%username%' failed on client %computername% [%ip%] user %consoleusername% |
|
12. | [%datetime%] Self Protection turned on by '%username%' on client %computername% [%ip%] user %consoleusername% |
روشن/خاموش محافظت از خود |
13. | [%datetime%] Self Protection turned off by '%username%' on client %computername% [%ip%] user %consoleusername% |
|
14. | [%datetime%] A scan was performed on client %computername% [%ip%] by '%username%'. Result='{Finished successfully/Aborted by user/Failed}', Scanned files='%d', Threats found='%d', Start Date='%datetime%', End Date='%datetime%' |
انجام پویش |
15. | [%datetime%] {Allowed/Denied} connection on client %computername% [%ip%] user %consoleusername%. [Direction='{In/Out}', Remote Address='%ip%:%port%', Local Address=':%port%', Protocol='%d'] |
لاگ فایروال |
16. | [%datetime%] Device Connected, Vendor='%vendor%', Product='%product%', Serial='%serial%', Action='{allowed/denied/allowed read-only}', Client='%computername% [%ip%]' |
اتصال ابزار (نسخ قدیمی) |
17. | [%datetime%] Device '%type%' with ID '%serial%' connected and was '{allowed/denied/allowed read-only}' on client %computername% [%ip%], user %consoleusername% |
اتصال ابزار
(نسخ جدید) |
18. | [%datetime%] IDS detected '%attackname%' on {incoming/outgoing} connection {from/to} %ip% on client %computername% [%ip%] user %consoleusername% and {allowed/denied} it |
تشخیص نفوذ |
نکات:
%%
به معنی مقدار رشتهای است که توسط سیستم جایگزین میشود.{xxx/yyy/zzz}
به معنی جایگزینی یکی از چند عبارت است.%d
به معنی مقدار عددی است.%datetime%
به معنی تاریخ به فرمت 2018-01-29 13:14:15
است.%consoleusername%
در لاگها به معنی کاربری است که در لحظه رخداد لاگ، در کلاینت مزبور لاگین بوده است. این کاربر کنسول ویندوز محسوب میشود.%username%
به معنی کاربری است که عمل را انجام داده است. در مواردی که عملیات توسط سیستم یا از طریق سرور انجام شده باشد، این کاربر خالی یا خط فاصله (-) یا system درج میشود. (همه موارد به یک معنی است)جهت مشاهده قواعد regex یا Regular Expression و اتصال به نرمافزارهای آنالیز لاگ، این صفحه را مطالعه کنید:
راهنمای اتصال کنسول مدیریتی پادویش به نرمافزار Splunk و مشابه
برای رفع این نیازمندی باید با ساختار شناسه ابزار یا همان Device ID آشنا شوید.
شناسه Device ID همان چیزی است که کنترل ابزار پادویش به عنوان شناسه یکتای ابزارهای جانبی لاگبرداری کرده و همچنین امکان تعریف قواعد را به شما بر این اساس میدهد.
در اوائل هر Device ID، دو بخش به نامهای Vendor ID و Product ID (یا VID و PID) دارد که شامل یک کد ۴ حرفی مشخص کننده شرکت تولیدکننده و رده محصول مربوطه است:
VID_04E8&PID_6866\3423047123&12&332
در عبارت بالا رنگ قرمز VID است که نشانگر تولیدکننده محصول و رنگ سبز PID است که نشانگر رده محصول میباشد. با جستجوی این اطلاعات در دیتابیسهای موجود در اینترنت میتوان این اعداد رمزی را به نام تولیدکننده و محصول مرتبط نمود. به عنوان مثال دو دیتابیس زیر معمولا مناسب هستند:
با استفاده از اطلاعات بالا مشخص میشود که دستگاه توسط شرکت سامسونگ تولید شده و از رده محصولات Samsung Galaxy این شرکت میباشد.
نکته ۱: در مورد برخی دستگاهها مانند Huawei یا برخی شرکتهای دیگر، ممکن است اطلاعات رده محصول پیدا نشود. چرا که اعداد PID برای رده محصول توسط هر تولیدکننده جداگانه اختصاص مییابند و دیتابیسهای عمومی این دستگاهها را ممکن است ندیده و این اطلاعات را نداشته باشند. ولی اعداد VID اصولا برای شرکتهای جهانی معتبر همواره پیدا میشود، چرا که به صورت مرکزی و توسط سازمان USB اختصاص یافته و دیتابیس آن موجود است.
نکته ۲: در مورد برخی دیوایسها (مثلا فلشهای چینی گمنام، یا دستگاههایی که استاندارد USB را رعایت نکردهاند) ممکن است اطلاعات VID نیز پیدا نشود. به هر صورت این اطلاعات چیزی است که توسط دیوایس به سیستم اعلام شده و جهت یافتن و نصب درایور استفاده میشود. در نتیجه در کاربردهای عمومیای مانند فلش و هارد که درایور خاصی نیاز ندارد احتمال اینکه دیوایس اطلاعات صحیحی به سیستم ندهد وجود دارد و نمیتوان به طور کامل به این اطلاعات اتکا نمود.
برای تعریف قاعده پیشرفته کنترل ابزار که برای مدل خاصی از ابزارهای جانبی عمل کند از روش زیر استفاده کنید:
VID_04E8&PID_6866\
یکی از گزینههای موجود در سیستم جلوگیری از نفوذ پادویش (IDS/IPS) گزینه Fragmented Packet میباشد. این گزینه به صورت پیشفرض غیرفعال است.
فعال کردن این گزینه مستلزم در نظر گرفتن ملاحظاتی است:
این گزینه برای کاربرد در شبکههای بسیار خاصی طراحی شده است.
توضیح اینکه Fragmented Packet برخلاف سایر گزینههای موجود در IPS به خودی خود نوعی حمله به شمار نمیرود. در شبکههایی که از یک تجهیز NIDS مرکزی جهت مقابله با حملات شبکه استفاده میکنند، گاهی یک مهاجم قادر است با تکهتکه کردن (اصطلاحا Fragment کردن) پکتهای حمله خود از دید NIDS مرکزی دور بماند. در چنین شبکههایی و با وجود این پیششرط که پکت Fragment شده در حالت عادی رخ ندهد میتوان از این گزینه جهت پیشگیری از این مساله استفاده نمود.
همانطور که گفته شد یکی از دلایل برخورد با Packet Fragmentation وجود اشکالات در کانفیگ شبکه میباشد.
در صورتیکه شبکه شما به چنین دلیلی (مانند تفاوت MTU در لینکهای مختلف بین راه) دچار Packet Fragmentation است، با کاهش دستی MTU میتوانید این مساله را اصلاح نمایید.
در سیستمعامل ویندوز امکان تعریف MTU روی کارت شبکه از طریق خط فرمان وجود دارد:
netsh interface ipv4 set subinterface "Local Area Connection" mtu=1400 store=persistent
netsh interface ipv4 show subinterface
لیست تغییرات کنسول مدیریتی پادویش سری 1.16 این صفحه لیست تغییرات (Change log) نسخههای سری 1.16 کنسول مدیریتی پادویش را به ترتیب از آخرین نسخه به اولین نسخه نمایش میدهد. نسخه 1.16.190.4846 گزارشات در تمامی صفحات نمایش لاگ، امکان مرتبسازی بازبینی...
مساله در لاگ تشخیص بدافزار پادویش (Threats) با مواردی مواجه شدید که Ignore یا Access Denied برای آنها درج شده است و میخواهید علت این موضوع را مشخص کنید. شرح مختصر به طور خلاصه عدم حذف بدافزار میتواند به یکی...
اکتشاف و نصب از راه دور نحوه و اسکریپت حذف ضدویروسهای دیگر از طریق کنسول مدیریتی پادویش مساله روی سیستمهای شبکه ضدویروس متفرقه نصب است و اجازه نصب پادویش را نمیدهد. چگونه میتوانم حین نصب از راه دور پادویش، این...
ما یک شرکت خدمات فناوری اطلاعات هستیم که از سال 1388 تاسیس شده است و ما صد ها پروژه موفق امنیتی در کارنامه خود داریم ، تمام هدف ما رضایت 100% مشتریان عزیز و گرامی می باشد و در آن کوشا هستیم
تمامی حقوق متعلق به شرکت پارس پویا می باشد
طراحی وب سایت توسط ماه سایت