Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2011 views
  • Users 0 members are here
Options
Suggested

[9.070][CLOSED] AV unable to detect virus to dropbox

utm_kid
Hello , 

using  Transparent Mode but dropbox configure with proxy utmip and port 8080

using dropbox in appcontrol 

i have many samples of virus which i downloaded to my linux pc and from that i am able to upload to dropbox while http proxy is on 

and i also notice that if i upload big virus file database restart 

2013:03:05-20:02:14 acenn httpproxy[30947]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="15" request="0x13801cb0" url="notify5.dropbox.com:80/subscribe

2013:03:05-20:02:53 acenn httpproxy[30947]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs15.astaro.com' access time: 198ms" 

but if i download same file from dropbox it able to detect virus 

please correct me if i am wrong 

thanks
Parents
  • 0
    When you are using the client with http proxy it might not be using http for the actual file transfer.

    If you upload a file using the client, what appears in the http.log?
    Start by clearing the http.log.
    Copy a file to the /home/dropbox
    Now what is in the http.log?
  • 0 in reply to Michael Dunn
    did not clear log ,just open live log if you want wait for 18 mints (11:42 pm now )i will do that also [:D]


    [HTML] 2013:03:07-23:38:12 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:30 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.219.160" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="10783" request="0x13eeaab0" url="client-lb.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:42 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:56 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:58 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.219.160" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6702" request="0x13fd5d90" url="client-lb.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:58 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.216.177" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="8094" request="0x13f2b1e0" url="d.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:59 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="107.20.249.238" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="18012" request="0x13f60960" url="dl-debug3.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs15.astaro.com' access time: 174ms"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs17.astaro.com' access time: 173ms"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs20.astaro.com' access time: 354ms"
    2013:03:07-23:39:12 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs04.astaro.com' access time: 327ms"
    2013:03:07-23:39:12 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs05.astaro.com' access time: 328ms"    [/HTML]

    if you want virus sampls please let me know i have ready on my web site 

    thanks
Reply
  • 0 in reply to Michael Dunn
    did not clear log ,just open live log if you want wait for 18 mints (11:42 pm now )i will do that also [:D]


    [HTML] 2013:03:07-23:38:12 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:30 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.219.160" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="10783" request="0x13eeaab0" url="client-lb.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:42 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:56 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.125" dstip="199.47.216.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="37" request="0x9c58620" url="notify5.dropbox.com:80/subscribe
    2013:03:07-23:38:58 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.219.160" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6702" request="0x13fd5d90" url="client-lb.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:58 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="199.47.216.177" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="8094" request="0x13f2b1e0" url="d.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:38:59 acenn httpproxy[26552]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.7.125" dstip="107.20.249.238" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="18012" request="0x13f60960" url="dl-debug3.dropbox.com/" exceptions="ssl,certcheck,certdate" error="" country="United States"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs15.astaro.com' access time: 174ms"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs17.astaro.com' access time: 173ms"
    2013:03:07-23:39:11 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs20.astaro.com' access time: 354ms"
    2013:03:07-23:39:12 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs04.astaro.com' access time: 327ms"
    2013:03:07-23:39:12 acenn httpproxy[26552]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="754" message="server 'cffs05.astaro.com' access time: 328ms"    [/HTML]

    if you want virus sampls please let me know i have ready on my web site 

    thanks
Children
  • 0 in reply to utm_kid
    Hi 

    Reached to a conclusion:

    -> when enabling SSL/HTTPS scanning and using dropbox upload/download via web, the content of the files is scanned for viruses. You will see the logs i posted above. So that test is pass.
    -> Dropbox application client does not work with SSL scanning enabled from the UTM, because it is failing to connect. It gives you the error: "Unable to make a secure connection", only because the DB app does not trust the CA certificates from the UTM. To make it work have to disable SSL, but if you do that then the content of the files is not scanned anymore. From your logs as you can notice, the method CONNECT is using https, which tunnels the traffic through the proxy. 

    So i am blaming a little the DB client. [:)] It is more secure to use the web Dropbox for this kind of things, like ul/dl viruses.
    Hope this is useful. Thanks,
    Bianca
  • 0 in reply to Tinkerbell

    Hope this is useful. Thanks,
    Bianca


    No     , we are dealing with security  as mention eailer forget virus ,i am able to bypass extention filtering also and as usuwal i did not get answer for upload /download size limit also ,think of data leak point of view ,i did not try plugin/addon  with dropbox need to test that also 

    will you tell end user not to use dropbox proxy ? what if he use addons of dropbox ? 
    will he able to bypass full utm ? may send confidiationl info to rivels so on ..just think of possibilites 

    again you are free to mark this thread as a answer or myth 
    thanks
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?