ผู้เขียน หัวข้อ: HOSxP Version 3.54.1.2x กับ Sophos  (อ่าน 16315 ครั้ง)

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ udomchok

  • Hero Member
  • *****
  • กระทู้: 8,358
  • Respect: +589
    • ดูรายละเอียด
    • ร.พ.สมเด็จพระสังฆราช องค์ที่ 17
HOSxP Version 3.54.1.2x กับ Sophos
« เมื่อ: มกราคม 26, 2011, 23:10:24 PM »
0
วันนี้ (26/01/54) งานเข้าแต่เช้า...ถูกโทร.ตามตอน 6 โมงเช้า ได้รับแจ้งว่าห้องบัตร print เอกสารจากระบบไม่ได้ เพราะเครื่องที่ต่อ printer แล้ว share ไว้ connect HOSxP ไม่ได้ บอกว่าหา libmysql41.dll ไม่เจอ
หลังจาก remote ไปดูแล้ว ไม่สามารถทำอะไรได้ ...โชคดีที่อยู่ใกล้...ก็เลยขับรถไปดู พบว่าหน้าจอแจ้งว่าไม่พบ libmysql41.dll ทุกเครื่องที่ login เข้า HOSxP วันนี้ แต่เครื่องไหนที่เปิดใช้อยู่ยังใช้งานได้ หรือเครื่องไหนที่ version ต่ำกว่า 3.54.1.2x ก็ยังเปิดเข้าใช้งานได้ (พบว่า 3.54.1.5 และต่ำกว่าใช้งานได้...ไม่งั้นป่วนกว่านี้อีก)
- ลองทดสอบติดตั้ง 3.54.1.22 ใหม่ที่ห้องบัตรก็ใช้ไม่ได้อีก
- copy libmysql41.dll จากเครื่องที่เปิดใช้งานอยู่ มาใส่ใน C:\Windows\System32 ก็ยังใช้งานไม่ได้
- copy libmysql41.dll จากเครื่องที่เปิดใช้งานอยู่ มาใส่ใน C:\Program Files\HOSxP ก็ยังใช้งานไม่ได้อีก
เอาล่ะสิ...ทำไงดี

ลองติดตั้งใหม่ สังเกตว่าขณะติดตั้ง HOSxP 3.54.1.22 แล้ว Sophos ดักจับว่าเจอ virus และทำการลบแฟ้มนั้นทิ้ง ก็เลยคิดว่า libmysql41.dll น่าจะถูกลบในขั้นตอนนี้ แต่เอ... libmysql41.dll มันไม่ใช่ไวรัสนี่น่า แล้วจะไปถูกลบทิ้งได้ไง....
อ่ะ...ลองติดตั้ง HOSxP 3.54.1.22 ใหม่ ...ผลลัพธ์เหมือนเดิม

แย่ล่ะสิ....คนไข้มารอเยอะแล้วด้วย ระบบก็ยังใช้ไม่ได้ คลินิกรุ่งอรุณก็กำลังจะเปิด....จะไปประชุมที่ สวปก. ก็ต้องรีบไปแต่เช้า .... เอาไงดี....
ทำด้วยหัวใจร.พ.สมเด็จพระสังฆราช องค์ที่ 17 อ.สองพี่น้อง จ.สุพรรณบุรี
อบรมโดย BMS Team เมื่อ พ.ย. 49 ขึ้นระบบห้องบัตรเมื่อ X'Mas 2007
2008 : X-Ray กายภาพบำบัด แพทย์แผนไทย กิจกรรมบำบัด OPD ตา
2009 : ทันตกรรม ห้องตรวจตา OPD (พยาบาลและห้องตรวจแพทย์บางห้อง)

ออฟไลน์ udomchok

  • Hero Member
  • *****
  • กระทู้: 8,358
  • Respect: +589
    • ดูรายละเอียด
    • ร.พ.สมเด็จพระสังฆราช องค์ที่ 17
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #1 เมื่อ: มกราคม 26, 2011, 23:15:55 PM »
0
เดี๋ยวบันทึกวิธีการแก้ไขเสร็จแล้วจะมา post ต่อ
ทำด้วยหัวใจร.พ.สมเด็จพระสังฆราช องค์ที่ 17 อ.สองพี่น้อง จ.สุพรรณบุรี
อบรมโดย BMS Team เมื่อ พ.ย. 49 ขึ้นระบบห้องบัตรเมื่อ X'Mas 2007
2008 : X-Ray กายภาพบำบัด แพทย์แผนไทย กิจกรรมบำบัด OPD ตา
2009 : ทันตกรรม ห้องตรวจตา OPD (พยาบาลและห้องตรวจแพทย์บางห้อง)

ออฟไลน์ Bordin

  • Hero Member
  • *****
  • กระทู้: 1,089
  • อย่าคิดว่าทำไม่ได้ ถ้ายังไม่ลองทำ
  • Respect: +1
    • ดูรายละเอียด
    • ADMIN PCB. sz
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #2 เมื่อ: มกราคม 26, 2011, 23:21:42 PM »
0
เดี๋ยวบันทึกวิธีการแก้ไขเสร็จแล้วจะมา post ต่อ

ตามมากดดัน  ;D ;D

ออฟไลน์ burge

  • Full Member
  • ***
  • กระทู้: 180
  • Respect: 0
    • ดูรายละเอียด
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #3 เมื่อ: มกราคม 26, 2011, 23:24:14 PM »
0
งานเข้าเหมือนกันพี่
mr.boekroek unin;  laokwhan hospital
server  HP ml 110 3.0GHz ram 512 Mb
MySql 5.0.37   Hosxp version 3.51.3.28
เริ่มใช้ 1 พย 2548

ออฟไลน์ Svl2Nuk3

  • Hero Member
  • *****
  • กระทู้: 793
  • Respect: 0
    • ดูรายละเอียด
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #4 เมื่อ: มกราคม 26, 2011, 23:33:27 PM »
0
เคยเจอเหมือนกันครับพี่โก้   เจอที่ สอ.  แต่บังเอิญว่า copy  libmysql41.dll  ไปทับแล้วมันหาย  เลยรอดตัวไป   ;D ;D

แต่ยังไงก็มากดดันวิธีแก้ไขด้วยคนอีกคน  เผื่อจะเจอดี   ;D ;D
I'm nuke (นุ๊ก)
My Blog  : http://www.codenuke.net
อดีต นวก.คอมฯ รพช.พรหมพิราม => 1 พ.ค. 52 - 30 ก.ย. 54
ปัจจุบัน : Software Engineer บริษัทแห่งหนึ่ง

ออฟไลน์ udomchok

  • Hero Member
  • *****
  • กระทู้: 8,358
  • Respect: +589
    • ดูรายละเอียด
    • ร.พ.สมเด็จพระสังฆราช องค์ที่ 17
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #5 เมื่อ: มกราคม 26, 2011, 23:47:34 PM »
0
แก้ไขเสร็จแล้วครับ แต่ขอเรียบเรียงเอกสารนิดหนึ่ง
ทำด้วยหัวใจร.พ.สมเด็จพระสังฆราช องค์ที่ 17 อ.สองพี่น้อง จ.สุพรรณบุรี
อบรมโดย BMS Team เมื่อ พ.ย. 49 ขึ้นระบบห้องบัตรเมื่อ X'Mas 2007
2008 : X-Ray กายภาพบำบัด แพทย์แผนไทย กิจกรรมบำบัด OPD ตา
2009 : ทันตกรรม ห้องตรวจตา OPD (พยาบาลและห้องตรวจแพทย์บางห้อง)

ออฟไลน์ Noppadol

  • Hero Member
  • *****
  • กระทู้: 1,060
  • Respect: +4
    • ดูรายละเอียด
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #6 เมื่อ: มกราคม 27, 2011, 00:01:27 AM »
0
ป๋าครับ..............Sophos เนี่ยป๋าใช้แบบไหนครับ................ผมกำลังสนใจอยู่เลย.........แนะนำด้วยครับ
SiChiangMai Hospital, SiChiangMai, Nongkhai
Tel.  :: 042451125 Ext 101, 111, 112
Mail :: hs4nwy@gmail.com

Start :: 9 July 2010
Implement :: Nongkhai Admin Team

Master :: HP DL380 Gen9, Ram 64 GB, CentOS 7, MariaDB-10.1.14
Slave   :: HP D380 Gen10, Ram 32 GB, AlmaLinux 9, MariaDB-10.10.6

ออฟไลน์ udomchok

  • Hero Member
  • *****
  • กระทู้: 8,358
  • Respect: +589
    • ดูรายละเอียด
    • ร.พ.สมเด็จพระสังฆราช องค์ที่ 17
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #7 เมื่อ: มกราคม 27, 2011, 00:33:38 AM »
0
ป๋าครับ..............Sophos เนี่ยป๋าใช้แบบไหนครับ................ผมกำลังสนใจอยู่เลย.........แนะนำด้วยครับ
http://hosxp.net/index.php?option=com_smf&Itemid=28&topic=19422


=================================================
ขอบคุณน้า peenan ที่อุตส่าห์โทร.มาสอบถาม...ด้วยความห่วงใยครับ เจอปัญหาเดียวกัน
ทำด้วยหัวใจร.พ.สมเด็จพระสังฆราช องค์ที่ 17 อ.สองพี่น้อง จ.สุพรรณบุรี
อบรมโดย BMS Team เมื่อ พ.ย. 49 ขึ้นระบบห้องบัตรเมื่อ X'Mas 2007
2008 : X-Ray กายภาพบำบัด แพทย์แผนไทย กิจกรรมบำบัด OPD ตา
2009 : ทันตกรรม ห้องตรวจตา OPD (พยาบาลและห้องตรวจแพทย์บางห้อง)

ออฟไลน์ chimchang

  • Jr. Member
  • **
  • กระทู้: 55
  • เด็กในหุบเขา
  • Respect: 0
    • ดูรายละเอียด
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #8 เมื่อ: มกราคม 27, 2011, 09:01:03 AM »
0
ผมก็โดนเมื่อวานนี้ ตามมากดดันพี่โก้ ด้วย
โรงพยาบาลด่านช้าง server IBM centos 5.3 64 bit  mysql percona-5.1.42 cpu intel Xeon 2.2 GHz Ram 4 GB HDD scsi 73 GB x 3 raid 5  powersupply redundant
ผู้ดูแลระบบ เอ๋ w_chimchang@hotmail.com tel 035-5950332 ต่อ 137

ออฟไลน์ udomchok

  • Hero Member
  • *****
  • กระทู้: 8,358
  • Respect: +589
    • ดูรายละเอียด
    • ร.พ.สมเด็จพระสังฆราช องค์ที่ 17
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #9 เมื่อ: มกราคม 27, 2011, 10:40:23 AM »
0
Wed, January 26, 2011 11:21:49 PM
RE: [#2644089] File sample submitted from the Sophos website
From:   
Phanusin Sywarungsymun <phanusin@wtec.co.th>
View Contact
To:   udomchok somwang <udcsw@yahoo.com>   
Cc:   Sophos <Sophos@wtec.co.th>
คุณโก้ครับ
 
จากตัวอย่าง Trojan ที่พบตามลิงค์ด้านล่างนั้น signature ออกมาวันที่ 25 ที่ผ่านมาก่อนเกิดปัญหาครับ
http://www.sophos.com/security/analyses/viruses-and-spyware/trojbancosbiz.html
 
ผมได้ส่งไฟล์เข้า labs ให้แล้วครับ เพื่อให้ทาง Sophos ตรวจสอบว่าเป็น false positive หรือไม่ ซื่งผลที่ออกมาคือ เป็น false positive ครับ
ต้องขอโทษด้วยครับที่ signature ไปตรวจจับไฟล์ library mysql connector ทำให้ระบบงานของโรงพยาบาลรันไม่ได้
ณ ตอนนี้ เมื่อ server update signature ใหม่เรียบร้อยแล้วก็จะไม่ตรวจจับไฟล์นี้เป็น Trojan อีกต่อไป
ทางคุณโก้สามารถจะ remove windows exclusion ทั้งในส่วน on-access scanning และ schedule scanning ใน  anti-virus and hips policy บน console ออกได้เลยนะครับ
แต่ถ้าไม่ต้องการให้ไปกระทบอีกก็ปล่อยไว้อย่างเดิมก็ได้ครับ
 
 
Best Regards,
 
Phanusin Sywarungsymun
ภาณุศิลป์ ศิวรังสิมันต์
Technical Manager
Sophos Division
 

WTEC Co.,  Ltd.
M: +66 (0) 8 0551 6052 | T: +66 (0) 2673 9484 Ext. 621 | F: +66 (0) 2673 9483
E: Phanusin@wtec.co.th
W: www.wtec.co.th
 

 
 
From: Sophos Support [mailto:supportasia@sophos.com]
Sent: Wednesday, January 26, 2011 2:35 PM
To: Phanusin Sywarungsymun; Sophos
Subject: Re: [#2644089] File sample submitted from the Sophos website
 
Hi Phanusin

thank you for your emails. This false-positive report should now have been corrected. Please do not hesitate to contact me if I can be of any further assistance.


Regards,

Martin Elliott
Sophos Technical Support
http://www.sophos.com/support/services/technical.html 

Support knowledgebase: http://www.sophos.com/support
Subscribe to email notifications: http://www.sophos.com/security/notifications
SophosTalk community (discussion forums): http://community.sophos.com

SOPHOS - simply secure


-----Original Message-----
From: phanusin@wtec.co.th
Sent: 2011-01-26 05:27 AM
To: supportasia@Sophos.com, Sophos@wtec.co.th,
Cc:
Hi,

Just follow up the case to see how is going?.
The signature that sophos launched 25 Jan 2011 which detects trojan bocon may be false positive. I'm not sure whether it detect correct or not. Customer has been using their library connector to mysql for so long until sophos distributed signature yesterday.

Please verify.

Phanusin

Sent from my BlackBerry® by dtac.

________________________________
From: Sophos File Samples
Date: Wed, 26 Jan 2011 01:19:43 +0000
To:
Subject: [#2644089] File sample submitted from the Sophos website


*NOTE: Please quote [#2644089] in the subject line of any further correspondence related to this query.

Thank you for submitting your sample(s). Our systems will analyze your sample(s) and return an automated response as soon as results are available. If you require assistance, or have any questions, please contact support@sophos.com.

Kind regards,

Sophos Technical Support
Support knowledgebase: http://www.sophos.com/support
Subscribe to email notifications: http://www.sophos.com/security/notifications
SophosTalk community (discussion forums): http://community.sophos.com

SOPHOS - simply secure

===================================================================================================
Disclaimer:
The information transmitted in this e-mail is intended only for the person or entity to which it is addressed, and may contain confidential
and/or privileged material. Any review, re-transmission, dissemination or other use of, or taking of any action in reliance upon this information
by persons or entities other than the intended recipient is prohibited. If you received this e-mail in error, please contact and inform the sender,
and delete the material from any computer.
WTEC Co., Ltd.
===================================================================================================

===================================================================================================
Disclaimer:
The information transmitted in this e-mail is intended only for the person or entity to which it is addressed, and may contain confidential
and/or privileged material. Any review, re-transmission, dissemination or other use of, or taking of any action in reliance upon this information
by persons or entities other than the intended recipient is prohibited. If you received this e-mail in error, please contact and inform the sender,
and delete the material from any computer.
WTEC Co., Ltd.
===================================================================================================
ทำด้วยหัวใจร.พ.สมเด็จพระสังฆราช องค์ที่ 17 อ.สองพี่น้อง จ.สุพรรณบุรี
อบรมโดย BMS Team เมื่อ พ.ย. 49 ขึ้นระบบห้องบัตรเมื่อ X'Mas 2007
2008 : X-Ray กายภาพบำบัด แพทย์แผนไทย กิจกรรมบำบัด OPD ตา
2009 : ทันตกรรม ห้องตรวจตา OPD (พยาบาลและห้องตรวจแพทย์บางห้อง)

doramon

  • บุคคลทั่วไป
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #10 เมื่อ: มกราคม 27, 2011, 11:12:18 AM »
0
โดนทุก รพ เลยที่ใช้  ครับ
 ;D

ออฟไลน์ udomchok

  • Hero Member
  • *****
  • กระทู้: 8,358
  • Respect: +589
    • ดูรายละเอียด
    • ร.พ.สมเด็จพระสังฆราช องค์ที่ 17
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #11 เมื่อ: มกราคม 27, 2011, 12:28:22 PM »
0
มาแล้วครับ


โดนทุก รพ เลยที่ใช้  ครับ
 ;D
แน่นอน...ตอนแรกว่าจะโทร.หา อ๊อด เหมือนกัน
ทำด้วยหัวใจร.พ.สมเด็จพระสังฆราช องค์ที่ 17 อ.สองพี่น้อง จ.สุพรรณบุรี
อบรมโดย BMS Team เมื่อ พ.ย. 49 ขึ้นระบบห้องบัตรเมื่อ X'Mas 2007
2008 : X-Ray กายภาพบำบัด แพทย์แผนไทย กิจกรรมบำบัด OPD ตา
2009 : ทันตกรรม ห้องตรวจตา OPD (พยาบาลและห้องตรวจแพทย์บางห้อง)

ออฟไลน์ กรรมกรไอที

  • Hero Member
  • *****
  • กระทู้: 584
  • เมื่อเทคโนโลยีคือลมหายใจของเรา
  • Respect: +6
    • ดูรายละเอียด
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #12 เมื่อ: มกราคม 27, 2011, 21:16:06 PM »
0
ปกติ console ของโปรแกรมไม่มี list ไฟล์ที่ถูกตรวจจับหรือครับ ผมใช้ Kaspersky ยังไม่เคยเจอแบบนี้ครับ อาจเป็นการกำหนดนโยบายด้วยหรือเปล่า ที่เคยเจอเป็นโปรแกรมของ Chi โปรแกรมมองว่ามีพฤติกรรมของไวรัส sql injector แต่ระบุชื่อไม่ได้ เขาเลยกักกันไว้ก่อน เอาไว้ให้เราส่งเข้า lab หรือถ้าเรามั่นใจว่าไม่ใช่เราก็สามารถอนุญาตให้ใช้งานต่อได้ ตอนนั้นผมก็อนุญาตให้ใช้ก่อนเพราะคิดว่าไม่น่าจะใช่ไวรัส แล้วจึงส่งไฟล์ที่มีปัญหาไปยัง lab ของ kaspersky โดยตรง ประมาณ 2 ชม.ทาง lab ก็ส่ง def กลับมาให้เลยครับ
 

ออฟไลน์ udomchok

  • Hero Member
  • *****
  • กระทู้: 8,358
  • Respect: +589
    • ดูรายละเอียด
    • ร.พ.สมเด็จพระสังฆราช องค์ที่ 17
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #13 เมื่อ: มกราคม 27, 2011, 21:40:05 PM »
0
ปกติ console ของโปรแกรมไม่มี list ไฟล์ที่ถูกตรวจจับหรือครับ ผมใช้ Kaspersky ยังไม่เคยเจอแบบนี้ครับ อาจเป็นการกำหนดนโยบายด้วยหรือเปล่า ที่เคยเจอเป็นโปรแกรมของ Chi โปรแกรมมองว่ามีพฤติกรรมของไวรัส sql injector แต่ระบุชื่อไม่ได้ เขาเลยกักกันไว้ก่อน เอาไว้ให้เราส่งเข้า lab หรือถ้าเรามั่นใจว่าไม่ใช่เราก็สามารถอนุญาตให้ใช้งานต่อได้ ตอนนั้นผมก็อนุญาตให้ใช้ก่อนเพราะคิดว่าไม่น่าจะใช่ไวรัส แล้วจึงส่งไฟล์ที่มีปัญหาไปยัง lab ของ kaspersky โดยตรง ประมาณ 2 ชม.ทาง lab ก็ส่ง def กลับมาให้เลยครับ
มีครับ แต่ผมยังหาจุดที่ exclude file นี้ไม่เจอ เพราะยังไม่คุ้นเคยกัน 555
ทำด้วยหัวใจร.พ.สมเด็จพระสังฆราช องค์ที่ 17 อ.สองพี่น้อง จ.สุพรรณบุรี
อบรมโดย BMS Team เมื่อ พ.ย. 49 ขึ้นระบบห้องบัตรเมื่อ X'Mas 2007
2008 : X-Ray กายภาพบำบัด แพทย์แผนไทย กิจกรรมบำบัด OPD ตา
2009 : ทันตกรรม ห้องตรวจตา OPD (พยาบาลและห้องตรวจแพทย์บางห้อง)

ออฟไลน์ naj

  • Hero Member
  • *****
  • กระทู้: 2,449
  • Respect: +10
    • ดูรายละเอียด
    • http://www.luangphopern-hospital.com
Re: HOSxP Version 3.54.1.2x กับ Sophos
« ตอบกลับ #14 เมื่อ: มกราคม 28, 2011, 18:52:42 PM »
0
26-28 ม.ค54 ไปประชุม CARDIAC NETWORK FORUM ที่ จ.พิษณุโลกกับ Boss ไม่ได้อยู่ รพ โดนเหมือนกัน เลยต้องรบกวนน้า PeeNan ที่มาช่วยเหลือ ขอบคุณน้ามากครับ  :D :D :D :D
« แก้ไขครั้งสุดท้าย: มกราคม 28, 2011, 19:38:02 PM โดย naj »
Yindee And Tan