Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Do pekla s antiviry!
červen 11
Do pekla s antiviry!

Na svém starším blogu, který mi www.pipni.cz bez upozornění zlikvidovalo, jsem psal kdysi o tom, že antivirové programy od jiných výrobců než od Microsoftu (Forefront) je lepší raději nenasazovat. A opět se mi moje nenávist k antivirům potvrdila cca před měsícem a dneska mi zase udělal dobře Avast. Už dlouho tvrdím, že největším nebezpečím stability, funkce, uchovávání dat a nutnosti podnikat nějaké administrativní zásady jsou ANTIviry.

Kaspersky Antivirus, jakási "serverová edice" na Windows Server 2008 R2. Všechno maximálně aktuální.

Přijdu k zákazníkovi řešit nějaké TMG pro publikaci SharePoint a Exchange. A jen tak mimochodem se dozvím, že prý mají strašně přetížená DC (Domain Controller, řadič domény). Tak si říkám, že DC na aktuálním železe se skoro nedá přetížit, ani když máte desetitisíce uživatelů a že to chci vidět.

Přihlašování trvá 15 minut. Otevření Start menu dalších 10. Když jsem po 30 minutách spustil Taskmanager a po dalších 5 se konečně přepnul na záložku Performance, vidím 100% CPU. Dal jsem tomu 3 minuty a v menu si zapnul zobrazení časů jádra (Kernel time). 100% CPU v jádře. Kdo je první adept? Do pekla s ním.

Jak jsem očekával, vypnutí rezidentní ochrany nepomohlo. To nepomůže nikdy.

Logicky následuje odinstalace. Výrobci antivirů jsou kreténi. Tím, že vypnete čudlíkem online rezidentní ochranu, toho moc nezískáte. Driver zůstane v jádře.

Po odinstalaci 0% CPU. Všechno v normálu. Posílám pusu do Ruska a dlabu si další zářez na pažbu.

Jak si může Kaspersky dovolit vydat takovou sračku, která po 2 letech od vydání Windows Server 2008 R2 způsobuje 100% CPU? Kdy jste naposledy na Windows zažili, že by nějaký program od Microsoftu způsoboval takovou haluz? Pokud nějaký software od Microsoftu nefunguje, tak to znamená, že jedna z jeho funkcí při nejhorším nic nedělá. Nebo to tu funkci třeba ještě nemá.

Kdy naposledy vám který software od Microsoftu restartoval počítač? Kdy to zatuhlo? Kdy vám na haluz přestaly fungovat VPNky? Kdy se vám jen tak odpojila síť? Skákal vám klastr z leva doprava každých pár sekund, protože byla chyba v té službě od Microsoftu? Dělá Microsoft to, že nejdou editovat oprávnění na souborech? Dělá třeba Office to, že po instalaci počítač bootuje třikrát tak dlouho?

A kdy tohle udělat Forefront Endpoint Protection, nebo Forefront Client Security? Kdy vám FEP/FCS naposledy smazal nějaké systémové soubry typu kernel32.dll? Kdy vám Forefront naposledy poničil Exchange, že se buď nemohli připojit klienti, nebo nechodila SMTP pošta?

Dobrá rady pro život s cizím antivirem

Odinstalujte ho.

Myslím tím, pokud máte nějaké podivné problémy. Podivné jsou tehdy, když začnou bez toho, abyste vůbec cokoliv dělali. Když se něco chová nebo padá chaoticky. Když to je haluz, kterou jste ještě v životě neviděli, tak je to antivirem. A buďte si jisti, že to je antivirem na 99%.

A nestačí jenom vypnout rezidentní ochranu, online protection, rezidentní štít ani nic podobného. Musíte tu mrchu odinstalovat.

A ideálně rituálně spálit instalační média. Doporučuje se pak ještě popel neutralizovat lidskou močí.

 

Comments

Re: Do pekla s antiviry!

Naprosty souhlas.. ja tedy jeste pred antivir radim BlackBerry a naopak hned za zalohovaci SW. To je taky lahudka..

PS: interni cisla MS Premier Support u Exchange mluvi jasne - za cca 68% problemu muze antivir :(
Martin Pavlis on 12.6.2012 1:22

Re: Do pekla s antiviry!

Jenom z poslední doby, co nám Microsoft posral. Minulej tejden počáteční synchronizace DFS smazala všechny aktuální verze souborů a přepsala je starejma z druhýho serveru. Ale na něj sakra měla naopak nakopírovat ty aktuální!! Čm to? Prostě bug viz http://support.microsoft.com/kb/2663685/en-us Kreténskej mrkvosoft :(

A druhá zábavná věc. Po nedávných WSUS aktualizacích se všechny XP stanice startují o 2 minuty dýl. I na compu bez antiviru. Zatím jsme nepřišli na to, která aktualizace přesně to udělala :(
Borek on 12.6.2012 11:25

Re: Do pekla s antiviry!

No mozem len potvrdit tiez som riesil problem na hlavnom FSMO ownerovi u zakaznika podobny problem ale z RPC komunikaciou, stroj islo pingat ale replikacia bola v haji a nedalo sa tam prihlasit ani cez RDP ani cez vzdialenu MMC, musel ist hard reset vzdy cca ob tri dni. Po odisntalovani ESET antiviru a nasadeni Forefrontu ziadny problem mesiace.
OSO on 12.6.2012 11:25

Re: Do pekla s antiviry!

No mozem len potvrdit tiez som riesil problem na hlavnom FSMO ownerovi u zakaznika podobny problem ale z RPC komunikaciou, stroj islo pingat ale replikacia bola v haji a nedalo sa tam prihlasit ani cez RDP ani cez vzdialenu MMC, musel ist hard reset vzdy cca ob tri dni. Po odisntalovani ESET antiviru a nasadeni Forefrontu ziadny problem mesiace.
OSO on 12.6.2012 15:36

Re: Do pekla s antiviry!

Ahoj Ondro,

moc rád bych používal antiviry od Microsoftu, ale bohužel Microsoft to nechce. co to melu za blbosti? tak mi poraď který antivir od Microsoftu nainstaluju na Windows Small Business Server 2003/2008/2011 Standard.

díky moc za reakci.

Michal
Michal Zobec on 16.6.2012 15:42

Re: Do pekla s antiviry!

Já bych na servery (s výjimkou terminálových) necpal antivir vůbec, ani Microsoftí, jsou z toho fakt jen problémy. Na ochranu souborů stačí antivir na stanicích a mailem viry v dnešní době prakticky nechodí. Možná ještě sharepoint s přístupem z veřejných compů...
Borek on 19.6.2012 16:31

Re: Do pekla s antiviry!

a) přesně tak, raději si tam nedám nic, než tam dávat ty hrůzy
b) proč by nešel dát ForeFront Endpoint Protection nebo System Center Endpoint Protection na SBS?
c) pokud má každý světový antivirus cca 2x za rok problémy typu těžké haluze - tak se ptám "a jaký další bezpečnostní chyby jsou v tom schovaný"?
ondas on 21.6.2012 23:04

SBS 2008

No Michal ma bohuzial pravdu, endpoint protection 2010 na SBS 2008 nejde nainstalovat, instalator to nedovoli, neskusal som ale FEP 2012, ja pouzivam obstarozny FCS od MS ale neni to to prave. Je to ale divne ked vlastny antivir zablokuju na SBS. Neviem co tym MS sleduje :(
oso on 28.6.2012 10:35

Re: Do pekla s antiviry!

Nedávno jsem jen tak ze srandy spustil nebezpečnej skript na stránce a forefront mi ho pustil do kompu a bylo po srandě. Myslim si, že by bylo nejvhodnější spojení enginu od mrkvosoftu s virou bázi od nějakého renomovaného výrobce.
Mlsoun on 3.12.2012 9:18

Re: Do pekla s antiviry!

Nedávno jsem jen tak ze srandy spustil nebezpečnej skript na stránce a forefront mi ho pustil do kompu a bylo po srandě. Myslim si, že by bylo nejvhodnější spojení enginu od mrkvosoftu s virou bázi od nějakého renomovaného výrobce.
Mlsoun on 3.12.2012 9:18

Re: Do pekla s antiviry!

no to sice verim, ze to pustilo, protoze tezko je poznat "zly skript". proto spis pochybuju, ze by to detekoval nekdo jiny. heuristika neexistuje. proste pokud antimalware nema signaturu, tak to nedetekuje. to by chtelo porovnat ten vysledek s nejakym jinym antivirem.

Taky je otazka, co to bylo za prohlizec. Jestli ten skript neucinkoval jenom proti nejake dire ve Firefoxu apod. Zatimco v IE by byl v pohode. Verim ze se MS snazi primarne chranit svoje produkty, misto aby se zbytecne venoval zaplatovani der cizich softu.

Mam tu taky nekde clanecek se statistikou poctu chyb a utoku na ostatni programy - jako je firefox, adobe apod. a tech je podle toho vysledku vice, nez na IE.

ani vlastne nevim, cim se lisi "renomovany" vyrobce od microsoftu. microsoft vyrabi svoje antiviry od dob MS-DOS. ma na to vlastni oddeleni (MPPC), ktere generuje signatury. stejne jako libovolny jiny vyrobce. nevidim duvod, proc by mely byt "horsi".

renomovanost se tu vetsinou projevuje medialni masazi ze strany tech jinych antiviru a silnymi recmi typu "ms je na hovno", a "vy byste chteli antivirus od ms?" apod.

ono je jednoduchy rict, ze to pustilo nejaky spatny skript. co to bylo za spatny skript? co to delalo?

ony ty cizi antiviry se mnohdy "domnivaji" a blokuji "kde co". pak mazou systemove soubory apod. Microsoft jde spis cestou spolehlive detekce znamych veci.

Ochrana nemuze byt nikdy jen na nejakem antiviru. Antiviry funguji stejne jenom proti znamym utokum. Proti cilenemu, rucne provedenemu utoku jsou stejne bezmocne.

Takze ja osobne vidim mnohem dulezitejsi misto ve spolehlivem zabezpeceni vnitrniho prostredi. Vzdycky budou existovat utoky, ktere nezachyti ani nejrenomovanejsi antiviry. Pokud neni prostredi zabezpeceno, je mrtve.
ondass on 3.12.2012 9:49

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments