Fórumok
Ma reggeltől kezdve szép sorban kezdtek a clamavjaim halódni.
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:40:17 clamd[25316]: SelfCheck: Database modification detected. Forcing reload.
Jan 26 10:40:19 clamd[25316]: Reading databases from /var/lib/clamav
Jan 26 10:40:19 clamd[25316]: reload db failed: Can't open file or directory
Jan 26 10:40:19 clamd[25316]: Terminating because of a fatal error.
Másnál is jöttek hasonlók esetleg?
Hozzászólások
Esetleg Oom killer nem járt arra látogatóban?
nálam is előjött időpont is hasonló. Bár nekem restartra elindult.
Fedora 26, Thinkpad x220
Elindulni elindul, de utána megint eldől általában. A reggel 8 körüli db update óta mókázik.
reload db failed: Can't duplicate file descriptor
Terminating because of a fatal error.
Pid file removed.
Socket file removed.
Mr OOM nem látogat be, több gépen egymástól függetlenül is ugyanaz előjött.
nekem debian 7, verzió: 0.99.2+dfsg-0+deb7u3
Fedora 26, Thinkpad x220
szintén csatlakozok. Egyszer csak ledöglik a clamd, ami annyira nem is lenne "nagy" baj. Csak épp az amavis szépen fallbackel a clamscan-re.. és az megeszi a gépet load ügyileg.
Bár még nem finomhangoltam a clamscan részen.
Mindenesetre ugyan ezzel a fenti hibával száll el nálam is egy gépen eddig. Ubuntu 12.04.5 LTS egy ilyenen.
ii clamav 0.99.2+addedll
És ez kb. ma kezdődött random időközönként eldobja magát. Ez ma a 4. ilyen eset.
(annyit még hozzáteszek extrának hogy clamav-unofficial-sigs használatban van itt, abból is egy 4.9.2 -es verzió. Bár most lehet rápróbálom a legfrissebbet.)
Olyan 12.04-en is dülöngél, ahol csak a gyári cld-ket használom. Egyelőre, mint workaoround, a freshclam-ot leállítottam és majd néha kézzel frissítek.
Közben megtaláltam, hogy tegnap óta van 0.99.3 -as, ami javít bugokat (http://blog.clamav.net/2018/01/clamav-0993-has-been-released.html), akár még valamilyen összefüggés is lehet a virusdb kezeléssel is. A 12.04-be ragadt gépeken marad a kézi install.
Még várok egy kicsit vele, hátha. Hétvége jön, így nem rohad be ez a szerver ha esetleg behalna a clamd (clamscan ott lesz neki).
+ annyit tettem még hogy clamav-unofficial-sigs -ből feldobtam az 5.6.2 -őt ami most a legfrissebb + kis reconfig.
Hátha valamelyik unofficial db okozza esetleg a hibát, bár nem hinném.
Clamav marad még a 0.99.2 egyelőre :)
ps: thx a topicért! mert vakargattam a fejemet, hogy most akkor hozzánk esik be valami "fail" email ami kettéakasztja a clamd-t vagy másról van szó.
Azon a pár ubuntun ami van, régen is csinálta, random időnként. Centos-on soha nem volt még.
--
"Sose a gép a hülye."
Szintén előjött, a reggel 7 órás frissítés óta ugyanezzel a hibával elhasal.
OS?
Nálam is előjött, de úgy tűnik a fájlmegnyitási limit miatt hasal el. Feljebb vittem kb 2 órája azóta nem dobott hátast. Ideiglenesen most így hagyom, aztán majd ránézek mitől nőtt meg a megnyitott fájlok száma. (Ubuntu 12 lts)
Üdv,
Surtya Zsolt
Nálam is fájlmegnyitás miatt hasalt el. Nézzetek rá a tmp könyvtárra...
megtörtént, mind amavis spool/tmp mind sima clamav tmp esetén. Ürítettem is. Ugyan úgy eldobta magát :(
És sajnos random hogy milyen időközönként. :)
Nem olyan random az, akkor áll le mikor elfogy a fájlmegnyitási limit :P
A limit emelésével kicsit tovább bírja majd...
Értem, de ez konkrétan csak egy "workaround" :) Valami el lehet csesződve globálisan, hiszen nem csak nálam vagy nálad jelentkezett, hanem többeknél :)
De köszi a tippet, majd figyelgetem. + itt már 15.00 után jóval visszaesettebb mind a levélforgalom ezen a vason, mind az egyéb használati forgalom (pl squid-proxy, de ne, ne fogjuk a proxyra:) mert ugyan olyan környezetben dolgozik ez a gépezet már sok éve és azóta kb ugyan annyi kliensel és csatlakozással kb.)) . Sajna a hétvége emiatt nem igazán fog érdemi tesztet eredményezni nálam :(
A workaround is jobb mint a semmi;-) Várjuk a javítást:
"clamav's daily.cvd is busted in version 24257 and 24256. revert daily.cvd to 24255 and disable freshclam until it is fixed upstream. check the mailing lists for updates."
https://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg15801…
No: http://lists.clamav.net/pipermail/clamav-users/2018-January/005723.html
I can confirm David Shrimpton's suggestion of adding Vbs.Downloader.Generic-6431223-0 to local.ign2 stops the problem
Mindjárt ki is próbálom.
- Am 26.01.2018 um 15:40 schrieb Joel Esler (jesler):
- As previously mentioned, if you downloaded the beta version of ClamAV
- 0.99.3, you will need to completely uninstall it and do a fresh install
- with the production version of 0.99.3 as there are significant code
- differences
bétától függetlenül ez azért eléggé gáz, hogy db code eltérések vannak.. Akkor mit szóljon majd a simple user aki .2-őt használ és .3 -as db "difference" van ?
+
Yes. We've dropped that sig from our side and are currently building a new daily
Az gz...
A tegnapi kiadás nem volt tervezett úgy olvastam és a .99.3beta -t .100-nak fogják átszámozni: http://blog.clamav.net/2018/01/clamav-version-number-adjustment.html
Az már egy külön kérdés, hogy hogyan jutott eszükbe minor update-re gondolni, ha "there are significant code differences" c. történet van...
update:
btw nem tudom ki hogy volt ma clamd* -al, de nálam a mai napon semmi extra esemény nem volt.
Szóval a mai napon 0 esemény. Pedig ma már volt mail forgalom.
ps2: clamav-om maradt ugyan úgy 0.99.2 -es, configja változatlan. Ami extra volt nekem az a clamav-unoff-sigs upgrade + forced update ezen DBkre. Passz hogy ettől javult-e meg, vagy valami el volt kefélve a clamav DBben. :)
nekem is, pentek delben meghalt kb mindenhol a clamd, es ujrainditaskor opedig db serulesre, out of memory-ra panaszkodott. db ujra toltes nem segitett, tobb ram igen.
Nálam is megvolt 26-án, de a friss 0.99.3 segített. Azóta rendben megy.
tegnap este frissitettem a .3-ra, ma delelott megint lehalt mindenutt. kezdek ideges lenni.
Mondjátok, a clamav-nak a placebónál több értelme van?
magaba nem tul sok, de ha behuzol ala par fizetos db-t is akkor mar megfog ezt-azt. nem mindent persze, de a semminel tobb.
email szuresre hasznalom, sok egyeb mellett. pc-re virusirtonak alkalmatlan.
Magában is napi 3-4 vírust megfog nálam.
+1 Most gyorsba megnézve egy dec3-9-ig terjedő clamav logot 321 esetben triggerelt FOUND-ra.
Jó ebbe többek között ilyenek voltak hogy:
Porcupine.Junk.36046.UNOFFICIAL
Sanesecurity.ScamL.699.UNOFFICIAL
Sanesecurity.Badmacro.Doc.stf.UNOFFICIAL
Sanesecurity.Malware.27136.JsHeur.UNOFFICIAL
s a társai. Szóval jó dolog ez, ha van. Bár tény, kliens oldalon megfogná az ottani antivírus valószínűleg, de mi a francnak jusson el a userig, ha az MTAGW kiszűri. :)
Hú, azért ez az unofficial elég durván hozza a false pozitívokat is ...
Van egy-két szabály, ami érdemes a local.ign2 -ben kivételt tenni. Olyan van gyáriban is, amikor rámozdul egy PDF-re.
Ettől függetlenül igazi false pozitívval nagyon ritkán találkozunk, bár azt hozzá kell tennem, hogy junkmail db az nem biztos, hogy a clamavban kezelendő.
Nálam sajnos nem csak pdf-re reagál hibásan.
A webalizer által generált statikus html fájlokban talál véletlenszerűen néha fertőzöttnek tűnőt. Most épp a winnow.malware.m0.url.1064504.UNOFFICIAL jelentkezik többször is.
Ha jól látom, az unofficial adatbázisnak része a Sanesecurity, amit én önállóan is letöltöttem. A false pozitívok többsége Sanesecurity.*.UNOFFICIAL néven jelentkezett, ezért most nem is tudom, hogy valóban az unofficial adatbázisból jöttek, vagy a külön letölött Sanesecurity adatbázisból. De volt benne még sok statisztika html téves detektálás, és korrekt FB javascript kódokat is veszélyesnek ítélt.
A Sanesecurity adatbázist most töröltem, és tesztelem, hogy csak az unofficial mennyi false pozitívot ad.
mert gondolom a webalizer report fileban szerepelnek virusos/feltort siteok cimei, es ezert jogosan blokkolja. whitelisteld azt a konyvtarat.
A találat azonosítója: winnow.malware.m0.url.1064504.UNOFFICIAL
Úgy tűnik, igazad van, erre nem is gondoltam.
Milyen fizetős db-ket használsz? Én csak a securiteinfo-t találtam meg és fizettem elő. Találat nincs sok, de legalább PR értéke van.
Az unofficial signatures történet aprít erősen, meg a Gugli féle safebrowse-ing bekapcsolása.
azt meg a malwarepatrolt, bar ez utobbi nem sokat er
Valakinek bevált egyéb fizetős megoldás?
mire gondolsz? masrol en nem nagyon tudok.
sot nemreg a malwarepatrol elkezdte fogni a google driveos url-eket, emiatt lett 3 nap alatt vagy 100 false positive :( azota ki van kapcsolva...
A'rpi
Ma kezdtem szétnézni milyen előfizetéses lehetőségek vannak. Nem igazán találtam, ezért kérdeztem általánosan.
A SecuriteInfo-ra előfizettem. Az ingyenes részével elégedettek vagyunk.