Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2007 views
  • Users 0 members are here
Options
Suggested

[9.070][CLOSED] AV unable to detect virus to dropbox

utm_kid
Hello , 

using  Transparent Mode but dropbox configure with proxy utmip and port 8080

using dropbox in appcontrol 

i have many samples of virus which i downloaded to my linux pc and from that i am able to upload to dropbox while http proxy is on 

and i also notice that if i upload big virus file database restart 

2013:03:05-20:02:14 acenn httpproxy[30947]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="15" request="0x13801cb0" url="notify5.dropbox.com:80/subscribe

2013:03:05-20:02:53 acenn httpproxy[30947]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs15.astaro.com' access time: 198ms" 

but if i download same file from dropbox it able to detect virus 

please correct me if i am wrong 

thanks
  • 0
    do you use the dropbox client for both, upload and download? Or do you download the file via your browser?
  • 0
    I noticed those logs too. But if you check the box for Scan HTTPS (SSL) Traffic then if you upload a virus in Dropbox account via web, the content will be blocked. Dropbox uses HTTPS.

    2013:03:07-15:53:18 bpo-asg-02 httpproxy[10608]: id="0056" severity="info" sys="SecureWeb" sub="http" name="web request blocked, virus detected" action="block" method="POST" srcip="10.145.16.218" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2464" request="0xabfa258" url="dl-web.dropbox.com/upload" exceptions="" error="" country="United States" reputation="trusted" category="170" reputation="trusted" categoryname="Personal Network Storage" engine="SAVI" virus="EICAR-AV-Test"

    Or did you upload using the Dropbox client application?
  • 0 in reply to Tinkerbell
    i  am using ubuntu linux  12.04.2, from /home/download (or document)folder "copy files"  to /home/dropbox then sync will upload file to dropbox web site   for download i am using dropbox application right click launch dropbox web site 
    i am using https ,Scan HTTPS (SSL) Traffic is checked 

    can you also check  file extenstion blocking when file extenstion block by web filtering>> antivirus/malware>> File extension filter 

    http://notify5.dropbox.com:80 use port 80 not port 443 

    think of data leak also  not just virus 

    if possible can you pls tell me how do you dropbox to upload file using brower (never tryed)
    edit :quick quastion : is Block downloads larger than size support upload or just download (new feature in http proxy/adv >misc)

    thanks
  • 0 in reply to utm_kid
    pls check image for proxy setting ,for better understanding writen in 1st post
  • 0 in reply to utm_kid
    ok understood what you mean by brower based upload with brower based upload but i am using clinet with http proxy 

    2013:03:07-23:03:11 acenn httpproxy[26552]: id="0056" severity="info" sys="SecureWeb" sub="http" name="web request blocked, virus detected" action="block" method="POST" srcip="192.168.7.125" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2468" request="0x13eea4b0" url="dl-web.dropbox.com/.../Agent-QF"
  • 0
    When you are using the client with http proxy it might not be using http for the actual file transfer.

    If you upload a file using the client, what appears in the http.log?
    Start by clearing the http.log.
    Copy a file to the /home/dropbox
    Now what is in the http.log?
  • 0 in reply to Michael Dunn
    did not clear log ,just open live log if you want wait for 18 mints (11:42 pm now )i will do that also [:D]


    [HTML] 2013:03:07-23:38:12 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:30 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.219.160" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="10783" request="0x13eeaab0" url="client-lb.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:42 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:56 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:58 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.219.160" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6702" request="0x13fd5d90" url="client-lb.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:58 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.216.177" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="8094" request="0x13f2b1e0" url="d.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:59 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="107.20.249.238" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="18012" request="0x13f60960" url="dl-debug3.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs15.astaro.com' access time: 174ms"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs17.astaro.com' access time: 173ms"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs20.astaro.com' access time: 354ms"
    2013:03:07-23:39:12 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs04.astaro.com' access time: 327ms"
    2013:03:07-23:39:12 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs05.astaro.com' access time: 328ms"    [/HTML]

    if you want virus sampls please let me know i have ready on my web site 

    thanks
  • 0 in reply to utm_kid
    Hi 

    Reached to a conclusion:

    -> when enabling SSL/HTTPS scanning and using dropbox upload/download via web, the content of the files is scanned for viruses. You will see the logs i posted above. So that test is pass.
    -> Dropbox application client does not work with SSL scanning enabled from the UTM, because it is failing to connect. It gives you the error: "Unable to make a secure connection", only because the DB app does not trust the CA certificates from the UTM. To make it work have to disable SSL, but if you do that then the content of the files is not scanned anymore. From your logs as you can notice, the method CONNECT is using https, which tunnels the traffic through the proxy. 

    So i am blaming a little the DB client. [:)] It is more secure to use the web Dropbox for this kind of things, like ul/dl viruses.
    Hope this is useful. Thanks,
    Bianca
  • 0 in reply to Tinkerbell

    Hope this is useful. Thanks,
    Bianca


    No     , we are dealing with security  as mention eailer forget virus ,i am able to bypass extention filtering also and as usuwal i did not get answer for upload /download size limit also ,think of data leak point of view ,i did not try plugin/addon  with dropbox need to test that also 

    will you tell end user not to use dropbox proxy ? what if he use addons of dropbox ? 
    will he able to bypass full utm ? may send confidiationl info to rivels so on ..just think of possibilites 

    again you are free to mark this thread as a answer or myth 
    thanks
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?