Érdekes clamd halálok

Ma reggeltől kezdve szép sorban kezdtek a clamavjaim halódni.


Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:

Jan 26 10:40:17 clamd[25316]: SelfCheck: Database modification detected. Forcing reload.
Jan 26 10:40:19 clamd[25316]: Reading databases from /var/lib/clamav
Jan 26 10:40:19 clamd[25316]: reload db failed: Can't open file or directory
Jan 26 10:40:19 clamd[25316]: Terminating because of a fatal error.

Másnál is jöttek hasonlók esetleg?

Hozzászólások

Esetleg Oom killer nem járt arra látogatóban?

nálam is előjött időpont is hasonló. Bár nekem restartra elindult.

Fedora 26, Thinkpad x220

Elindulni elindul, de utána megint eldől általában. A reggel 8 körüli db update óta mókázik.


reload db failed: Can't duplicate file descriptor
Terminating because of a fatal error.
Pid file removed.
Socket file removed.

Mr OOM nem látogat be, több gépen egymástól függetlenül is ugyanaz előjött.

szintén csatlakozok. Egyszer csak ledöglik a clamd, ami annyira nem is lenne "nagy" baj. Csak épp az amavis szépen fallbackel a clamscan-re.. és az megeszi a gépet load ügyileg.

Bár még nem finomhangoltam a clamscan részen.

Mindenesetre ugyan ezzel a fenti hibával száll el nálam is egy gépen eddig. Ubuntu 12.04.5 LTS egy ilyenen.
ii clamav 0.99.2+addedll

És ez kb. ma kezdődött random időközönként eldobja magát. Ez ma a 4. ilyen eset.

(annyit még hozzáteszek extrának hogy clamav-unofficial-sigs használatban van itt, abból is egy 4.9.2 -es verzió. Bár most lehet rápróbálom a legfrissebbet.)

Olyan 12.04-en is dülöngél, ahol csak a gyári cld-ket használom. Egyelőre, mint workaoround, a freshclam-ot leállítottam és majd néha kézzel frissítek.

Közben megtaláltam, hogy tegnap óta van 0.99.3 -as, ami javít bugokat (http://blog.clamav.net/2018/01/clamav-0993-has-been-released.html), akár még valamilyen összefüggés is lehet a virusdb kezeléssel is. A 12.04-be ragadt gépeken marad a kézi install.

Még várok egy kicsit vele, hátha. Hétvége jön, így nem rohad be ez a szerver ha esetleg behalna a clamd (clamscan ott lesz neki).

+ annyit tettem még hogy clamav-unofficial-sigs -ből feldobtam az 5.6.2 -őt ami most a legfrissebb + kis reconfig.

Hátha valamelyik unofficial db okozza esetleg a hibát, bár nem hinném.

Clamav marad még a 0.99.2 egyelőre :)

ps: thx a topicért! mert vakargattam a fejemet, hogy most akkor hozzánk esik be valami "fail" email ami kettéakasztja a clamd-t vagy másról van szó.

Azon a pár ubuntun ami van, régen is csinálta, random időnként. Centos-on soha nem volt még.
--
"Sose a gép a hülye."

Szintén előjött, a reggel 7 órás frissítés óta ugyanezzel a hibával elhasal.

Nálam is előjött, de úgy tűnik a fájlmegnyitási limit miatt hasal el. Feljebb vittem kb 2 órája azóta nem dobott hátast. Ideiglenesen most így hagyom, aztán majd ránézek mitől nőtt meg a megnyitott fájlok száma. (Ubuntu 12 lts)

Üdv,
Surtya Zsolt

Nálam is fájlmegnyitás miatt hasalt el. Nézzetek rá a tmp könyvtárra...

Értem, de ez konkrétan csak egy "workaround" :) Valami el lehet csesződve globálisan, hiszen nem csak nálam vagy nálad jelentkezett, hanem többeknél :)

De köszi a tippet, majd figyelgetem. + itt már 15.00 után jóval visszaesettebb mind a levélforgalom ezen a vason, mind az egyéb használati forgalom (pl squid-proxy, de ne, ne fogjuk a proxyra:) mert ugyan olyan környezetben dolgozik ez a gépezet már sok éve és azóta kb ugyan annyi kliensel és csatlakozással kb.)) . Sajna a hétvége emiatt nem igazán fog érdemi tesztet eredményezni nálam :(

A workaround is jobb mint a semmi;-) Várjuk a javítást:
"clamav's daily.cvd is busted in version 24257 and 24256. revert daily.cvd to 24255 and disable freshclam until it is fixed upstream. check the mailing lists for updates."

https://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg15801…

- Am 26.01.2018 um 15:40 schrieb Joel Esler (jesler):
- As previously mentioned, if you downloaded the beta version of ClamAV
- 0.99.3, you will need to completely uninstall it and do a fresh install
- with the production version of 0.99.3 as there are significant code
- differences

bétától függetlenül ez azért eléggé gáz, hogy db code eltérések vannak.. Akkor mit szóljon majd a simple user aki .2-őt használ és .3 -as db "difference" van ?

+


Yes. We've dropped that sig from our side and are currently building a new daily

Az gz...

A tegnapi kiadás nem volt tervezett úgy olvastam és a .99.3beta -t .100-nak fogják átszámozni: http://blog.clamav.net/2018/01/clamav-version-number-adjustment.html

Az már egy külön kérdés, hogy hogyan jutott eszükbe minor update-re gondolni, ha "there are significant code differences" c. történet van...

update:

btw nem tudom ki hogy volt ma clamd* -al, de nálam a mai napon semmi extra esemény nem volt.

Szóval a mai napon 0 esemény. Pedig ma már volt mail forgalom.

ps2: clamav-om maradt ugyan úgy 0.99.2 -es, configja változatlan. Ami extra volt nekem az a clamav-unoff-sigs upgrade + forced update ezen DBkre. Passz hogy ettől javult-e meg, vagy valami el volt kefélve a clamav DBben. :)

nekem is, pentek delben meghalt kb mindenhol a clamd, es ujrainditaskor opedig db serulesre, out of memory-ra panaszkodott. db ujra toltes nem segitett, tobb ram igen.

Nálam is megvolt 26-án, de a friss 0.99.3 segített. Azóta rendben megy.

tegnap este frissitettem a .3-ra, ma delelott megint lehalt mindenutt. kezdek ideges lenni.

Mondjátok, a clamav-nak a placebónál több értelme van?

+1 Most gyorsba megnézve egy dec3-9-ig terjedő clamav logot 321 esetben triggerelt FOUND-ra.

Jó ebbe többek között ilyenek voltak hogy:

Porcupine.Junk.36046.UNOFFICIAL
Sanesecurity.ScamL.699.UNOFFICIAL
Sanesecurity.Badmacro.Doc.stf.UNOFFICIAL
Sanesecurity.Malware.27136.JsHeur.UNOFFICIAL

s a társai. Szóval jó dolog ez, ha van. Bár tény, kliens oldalon megfogná az ottani antivírus valószínűleg, de mi a francnak jusson el a userig, ha az MTAGW kiszűri. :)

Van egy-két szabály, ami érdemes a local.ign2 -ben kivételt tenni. Olyan van gyáriban is, amikor rámozdul egy PDF-re.

Ettől függetlenül igazi false pozitívval nagyon ritkán találkozunk, bár azt hozzá kell tennem, hogy junkmail db az nem biztos, hogy a clamavban kezelendő.

Nálam sajnos nem csak pdf-re reagál hibásan.
A webalizer által generált statikus html fájlokban talál véletlenszerűen néha fertőzöttnek tűnőt. Most épp a winnow.malware.m0.url.1064504.UNOFFICIAL jelentkezik többször is.
Ha jól látom, az unofficial adatbázisnak része a Sanesecurity, amit én önállóan is letöltöttem. A false pozitívok többsége Sanesecurity.*.UNOFFICIAL néven jelentkezett, ezért most nem is tudom, hogy valóban az unofficial adatbázisból jöttek, vagy a külön letölött Sanesecurity adatbázisból. De volt benne még sok statisztika html téves detektálás, és korrekt FB javascript kódokat is veszélyesnek ítélt.
A Sanesecurity adatbázist most töröltem, és tesztelem, hogy csak az unofficial mennyi false pozitívot ad.