HTTP自 2020 年 7 月以来停止检测通过下载 Eicar 测试文件
59089
Created On 08/25/20 02:34 AM - Last Modified 08/03/22 03:14 AM
Symptom
Eicar.org 用于提供 HTTP 以下链接来下载 Eicar 测试文件。
http://2016.eicar.org/download/eicar.com http://www.eicar.org/download/eicar.com
一些客户保留链接,并尝试使用这些链接下载文件。 使用上述链接下载 Eicar 测试文件时 HTTP ,在 firewall "检测到的 Eicar 文件 (39040)" (类型:漏洞)或"Eicar 测试文件 (1000000)"(类型:病毒)中均未检测到该文件。
这始于2020年7月中旬左右。
Cause
A 2020年7月中旬左右,Eicar.org 进行了变更。
以下是门户网站的屏幕截图(https://www.eicar.org/?page_id=3950)。
(截图拍摄于2020年8月25日)
Eicar.org 改变了行为,将所有"http"请求重定向到"https"。 (将来可能会再次更改。
这可以通过运行卷曲命令或查看数据包捕获来确认。
$卷曲 <!DOCTYPE HTML PUBLIC IETF http://2016.eicar.org/download/eicar.com"-///2.0//"> DTD HTML EN <html><head> <title>301 永久移动</title> </head><body> <h1>永久移动</h1> <p>文件已经搬到 <a href="https://www.eicar.org/download/eicar.com">这里</a>了。</p> </body></html> |
Resolution
由于流量被重定向到 https, SSL 解密是必要的检测 Eicar 测试文件上 firewall 。
作为一种解决方法,我们可以从我们自己的网络服务器下载Eicar测试文件 firewall 通过。
以下是 Python 运行简单 Web 服务器的示例。
Python2:$
蟒蛇-m简单服务器80
Python3:$
蟒蛇-m.服务器