HTTP自 2020 年 7 月以来停止检测通过下载 Eicar 测试文件

HTTP自 2020 年 7 月以来停止检测通过下载 Eicar 测试文件

59089
Created On 08/25/20 02:34 AM - Last Modified 08/03/22 03:14 AM


Symptom


Eicar.org 用于提供 HTTP 以下链接来下载 Eicar 测试文件。

http://2016.eicar.org/download/eicar.com http://www.eicar.org/download/eicar.com


一些客户保留链接,并尝试使用这些链接下载文件。 使用上述链接下载 Eicar 测试文件时 HTTP ,在 firewall "检测到的 Eicar 文件 (39040)" (类型:漏洞)或"Eicar 测试文件 (1000000)"(类型:病毒)中均未检测到该文件。

这始于2020年7月中旬左右。

Cause


A 2020年7月中旬左右,Eicar.org 进行了变更。

以下是门户网站的屏幕截图(https://www.eicar.org/?page_id=3950)。

用户添加的图像
(截图拍摄于2020年8月25日)


Eicar.org 改变了行为,将所有"http"请求重定向到"https"。 (将来可能会再次更改。

这可以通过运行卷曲命令或查看数据包捕获来确认。
 
$卷曲
<!DOCTYPE HTML PUBLIC IETF http://2016.eicar.org/download/eicar.com"-///2.0//"> DTD HTML EN
<html><head>
<title>301 永久移动</title>
</head><body>
<h1>永久移动</h1>
<p>文件已经搬到 <a href="https://www.eicar.org/download/eicar.com">这里</a>了。</p>
</body></html>

Resolution


由于流量被重定向到 https, SSL 解密是必要的检测 Eicar 测试文件上 firewall 。

作为一种解决方法,我们可以从我们自己的网络服务器下载Eicar测试文件 firewall 通过。

以下是 Python 运行简单 Web 服务器的示例。

Python2:$
蟒蛇-m简单服务器80

Python3:$
蟒蛇-m.服务器
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAUvCAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language