Using signal e-Mail messages
Table of contents
Share
Metrics
Using signal e-Mail messages
Annotation
PII
S111111110000557-0-1
DOI
10.33276/s111111110000557-0-1
Publication type
Article
Status
Published
Authors
Alexander Terentjev 
Occupation: Leading Researcher
Affiliation: CEMI RAS
Address: Moscow, Nachimovky prospect 47
Edition
Abstract
The method of notification is offered in problem situations on a anti-virus server. The special program of dispatch of e-Mail, and fictitious account on MTA has made for method realisation. The program realised on the PowerBASIC algorithmicus language as console’ utility. The real cases of the use of method are described. The program is equipped with a сonfiguration file, and is therefore easily portable to any necessary Windows environment. The implementation of the program on the anti-Virus server of CEMI RAS allowed to exclude daily remote monitoring of the server during the update of anti-virus areas and obtaining statistics at midnight.
Keywords
antivirus, server, Windows, e-Mail, MTA
Received
03.07.2018
Date of publication
12.12.2018
Number of characters
6350
Number of purchasers
4
Views
667
Readers community rating
0.0 (0 votes)
Cite Download pdf

To download PDF you should sign in

1 Практика использования серверов в большинстве случаев не предусматривает постоянного присутствия человека за клавиатурой и монитором сервера. Во многих случаях это невозможно не только вследствие круглосуточной работы сервера, но и из-за технических особенностей: ряд серверов эксплуатируется вообще без постоянно подключённых монитора и клавиатуры [9]. В полной мере это относится к Windows-серверам, и в том числе к Антивирусному серверу (АВ-серверу) ЦЭМИ РАН [8] [14] [9] [10] [11].
2

Между тем, в ряде случаев необходимо своевременное принятие решений, а зачастую и операторских действий при нештатных ситуациях на сервере. Если относительно сбоев электропитания можно что-то предпринять, например, осуществив резкое увеличение срока поддержки автономного питания [7] [6], то существуют ситуации, когда реагировать нужно незамедлительно.

3 Одна из такого рода ситуаций стала происходить на АВ-сервере в мае 2018 года, когда при принудительном завершении работы раздатчика web-информации Apache 1.3.23 [4] по непонятным причинам не удалялся текущий протокол работы (лог) программы Apache. Это приводило к тому, что на следующие сутки образовывался не новый протокол работы, а продолжался текущий за предыдущие сутки, причем такой эффект мог быть многодневным. При фиксации этого эффекта, автору работы приходилось ежедневно с 23:30 до 00:00 с помощью программы удалённого доступа Remote Administrator [3] контролировать корректность удаления лога, а в случаях невозможности его удаления («Файл access.log занят посторонней программой») перезагружать сервер, останавливать автоматически стартовавший при перезагрузке Apache, удалять лог и вновь стартовать Apache. Когда означенная ситуация повторилась в пятый раз за 10 дней, стала очевидной необходимость не только найти выход из ситуации без перезагрузки сервера, но и предусмотреть способ оповещения о такой ситуации.
4 Для завершения рассмотрения описанной ситуации следует сказать, что разблокировку лога оказалось возможным быстро осуществлять бесплатной программой IoBit Unlocker [1], которая показала присутствие пары несанкционированных процессов, запущенных якобы из каталога общего доступа. Каталог был исключён из разрешённых к доступу ботами добавлением строки в файл ROBOTS.TXT, и больше означенная проблема не возникала. Тем не менее, описанная ситуация навела автора на мысль создать внутри Антивирусной службы института сервис автоматической посылки E-Mail-сообщений с параметрической настройкой темы письма и текста сообщения.
5

Рис. 1. BAT-файл завершения дневной работы Apache

6 Такой блок уже был однажды запрограммирован и включён в программу постоянного пингования связи с роутером локальной сети [13]. Теперь этот блок был выделен в самостоятельную программу, к которой возможно обращение из BAT-файла. Большинство параметров (путь создаваемого файла отчёта, адрес (URL) почтового сервера, поля From, To, Subj, Text и Password) обычно хранятся в конфигурационном файле рядом с вызываемой программой в системном каталоге, а изменяемые Subj и/или Text могут дополнительно задаваться параметрами вызова.
7 Теперь соответствующие строки проверки реального удаления лога Apache вставлены в BAT-файл ежедневного завершения работы Apache (рис. 1). В случае неудаления лога исполняется обращение tamsmtp /GO, информирующее о необходимости вмешаться в ситуацию.
8 Второе обращение, ниже, tamsmtp /GO /TXT=Flag предусмотрено для ситуации, когда вследствие некорректной работы блока accntx.bat обработки дневного лога в предшествующие дни (например, из-за переполнения таблицы пользователей) оказывается убранным флаг-файл tampst3.flg. Конфигурационный файл программы tamsmtp.exe показан на рис. 2. Из него видно, что поле Subj содержит текст-идентификацию основного АВ-сервера “[AV_Server_LOG]”, текстом по умолчанию является “Log_NOT_Deleted_Today”. При втором вызове текст меняется на “Flag”.
9

Рис. 2. Конфигурационный файл программы TamSmtp.exe

10 Для реализации приведённой схемы оказалось необходимым на общеинститутском почтовом сервере создать фиктивный аккаунт avir, чтобы существующий Mail Transport Agent (MTA) принимал посланные от этого имени сообщения. Поскольку на сервере vs1.cemi.rssi.ru не предусмотрена схема парольного доступа, принимаемые сообщения ограничены не аутентификацией, а разрешёнными фиксированными исходящими IP, включающими все АВ-сервера и постоянно включённый рабочий ПК Антивирусной службы. Адрес назначения является основным адресом администратора АВ-серверов.
11 Результат реализации значительно сокращает объём работы по администрированию АВ-сервера [5]. В частности, вместо ежедневного дистанционного наблюдения в 23:30 за процессом завершения дневной работы по раздаче антивирусных обновлений достаточно скачать текущую почту.
12 К настоящему времени проведена работа по модификации всех BAT-файлов АВ-серверов с включением туда оповещений в случае аварийных или критических ситуаций.
13 Поскольку существуют и другие службы, используемые сервером (например, UPS [7]), которые предусматривают оповещение через E-Mail, теперь возможно их задействовать через тот же аккаунт avir, повысив информативность сервера и рабочего ПК в критических ситуациях.
14 Программа tamsmtp.exe написана на языке PowerBASIC Console Conpiler 5.05 [2] и достаточно тривиальна. Однако, уточнённый протокол отправки E-Mail был определён с помощью имеющейся системы наблюдения циркулирующих в локальной сети пакетов [12].
15 Внедрение в практику сигнальных E-Mail-сообщений подняло работу администратора АВ-сервера на качественно новый уровень. Замещая необходимость постоянного наблюдения за процессами актуализации областей антивирусных обновлений и ежедневной статистики, такая технология существенно экономит время обслуживания. Наличие конфигуратора в программе отправки E-Mail и самодокументированность программы позволяет легко внедрить описанную технологию на других институтских Windows-серверах.

References

1.  https://www.radmin.ru/985-6516-85-4 (rus.).

2. http://av.cemi.rssi.ru

3. "Natsional'nye interesy: prioritety i bezopasnost'". - M.: Izdatel'skij dom "Finansy i kredit", N32(221), 2013, s.56-60, ISSN 2073-2872.

4. "Natsional'nye interesy: prioritety i bezopasnost'". - M.: Izdatel'skij dom "Finansy i kredit", N30(219), 2013, s.46-53, ISSN 2073-2872. 

5. "Ispol'zovanie i razvitie sovremennykh informatsionnykh tekhnologij v nauchnykh issledovaniyakh." Sb. statej pod red. M.D. Il'menskogo - M: TsEhMI RAN, 2003, s. 64-73. 

6. "Natsional'nye interesy: prioritety i bezopasnost'". - M.: Izdatel'skij dom "Finansy i kredit", N17(206), 2013, s.41-48, ISSN 2073-2872. 

7. "Natsional'nye interesy: prioritety i bezopasnost'". - M.: Izdatel'skij dom "Finansy i kredit", N19(208), 2013, s.40-45, ISSN 2073-2872. 

8. "Natsional'nye interesy: prioritety i bezopasnost'". - M.: Izdatel'skij dom "Finansy i kredit", N20(209), 2013, s.41-46, ISSN 2073-2872. 

9. "Razvitie i ispol'zovanie sredstv setevogo monitoringa i audita. Vypusk 1". - Sb.statej pod red. A.M.Terent'eva. - M., TsEhMI RAN, 2004, s.75-87, ISBN 5-8211-0317-7. 

10. XXIV Mezhdunarodnaya nauchnaya konferentsiya "Sovremennye kontseptsii nauchnykh issledovanij" - M.: "Evrazijskoe nauchnoe ob'edinenie", N2(24). 2017. T.1, s.37-39. ISSN 2411-1899.

11. "Razvitie i ispol'zovanie sredstv setevogo monitoringa i audita. Vypusk 1". - Sb.statej pod red. A.M.Terent'eva. - M., TsEhMI RAN, 2004, s.47-59, ISBN 5-8211-0317-7