Érdekes clamd halálok

 ( andrej_ | 2018. január 26., péntek - 13:08 )

Ma reggeltől kezdve szép sorban kezdtek a clamavjaim halódni.

Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:
Jan 26 10:22:38 clamd[25316]: accept() failed:

Jan 26 10:40:17 clamd[25316]: SelfCheck: Database modification detected. Forcing reload.
Jan 26 10:40:19 clamd[25316]: Reading databases from /var/lib/clamav
Jan 26 10:40:19 clamd[25316]: reload db failed: Can't open file or directory
Jan 26 10:40:19 clamd[25316]: Terminating because of a fatal error.

Másnál is jöttek hasonlók esetleg?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Esetleg Oom killer nem járt arra látogatóban?

nálam is előjött időpont is hasonló. Bár nekem restartra elindult.

Fedora 26, Thinkpad x220

Elindulni elindul, de utána megint eldől általában. A reggel 8 körüli db update óta mókázik.


reload db failed: Can't duplicate file descriptor
Terminating because of a fatal error.
Pid file removed.
Socket file removed.

Mr OOM nem látogat be, több gépen egymástól függetlenül is ugyanaz előjött.

nekem debian 7, verzió: 0.99.2+dfsg-0+deb7u3

Fedora 26, Thinkpad x220

szintén csatlakozok. Egyszer csak ledöglik a clamd, ami annyira nem is lenne "nagy" baj. Csak épp az amavis szépen fallbackel a clamscan-re.. és az megeszi a gépet load ügyileg.

Bár még nem finomhangoltam a clamscan részen.

Mindenesetre ugyan ezzel a fenti hibával száll el nálam is egy gépen eddig. Ubuntu 12.04.5 LTS egy ilyenen.
ii clamav 0.99.2+addedll

És ez kb. ma kezdődött random időközönként eldobja magát. Ez ma a 4. ilyen eset.

(annyit még hozzáteszek extrának hogy clamav-unofficial-sigs használatban van itt, abból is egy 4.9.2 -es verzió. Bár most lehet rápróbálom a legfrissebbet.)

Olyan 12.04-en is dülöngél, ahol csak a gyári cld-ket használom. Egyelőre, mint workaoround, a freshclam-ot leállítottam és majd néha kézzel frissítek.

Közben megtaláltam, hogy tegnap óta van 0.99.3 -as, ami javít bugokat (http://blog.clamav.net/2018/01/clamav-0993-has-been-released.html), akár még valamilyen összefüggés is lehet a virusdb kezeléssel is. A 12.04-be ragadt gépeken marad a kézi install.

Még várok egy kicsit vele, hátha. Hétvége jön, így nem rohad be ez a szerver ha esetleg behalna a clamd (clamscan ott lesz neki).

+ annyit tettem még hogy clamav-unofficial-sigs -ből feldobtam az 5.6.2 -őt ami most a legfrissebb + kis reconfig.

Hátha valamelyik unofficial db okozza esetleg a hibát, bár nem hinném.

Clamav marad még a 0.99.2 egyelőre :)

ps: thx a topicért! mert vakargattam a fejemet, hogy most akkor hozzánk esik be valami "fail" email ami kettéakasztja a clamd-t vagy másról van szó.

Azon a pár ubuntun ami van, régen is csinálta, random időnként. Centos-on soha nem volt még.
--
"Sose a gép a hülye."

Szintén előjött, a reggel 7 órás frissítés óta ugyanezzel a hibával elhasal.

OS?

Nálam is előjött, de úgy tűnik a fájlmegnyitási limit miatt hasal el. Feljebb vittem kb 2 órája azóta nem dobott hátast. Ideiglenesen most így hagyom, aztán majd ránézek mitől nőtt meg a megnyitott fájlok száma. (Ubuntu 12 lts)

Üdv,
Surtya Zsolt

Nálam is fájlmegnyitás miatt hasalt el. Nézzetek rá a tmp könyvtárra...

megtörtént, mind amavis spool/tmp mind sima clamav tmp esetén. Ürítettem is. Ugyan úgy eldobta magát :(

És sajnos random hogy milyen időközönként. :)

Nem olyan random az, akkor áll le mikor elfogy a fájlmegnyitási limit :P
A limit emelésével kicsit tovább bírja majd...

Értem, de ez konkrétan csak egy "workaround" :) Valami el lehet csesződve globálisan, hiszen nem csak nálam vagy nálad jelentkezett, hanem többeknél :)

De köszi a tippet, majd figyelgetem. + itt már 15.00 után jóval visszaesettebb mind a levélforgalom ezen a vason, mind az egyéb használati forgalom (pl squid-proxy, de ne, ne fogjuk a proxyra:) mert ugyan olyan környezetben dolgozik ez a gépezet már sok éve és azóta kb ugyan annyi kliensel és csatlakozással kb.)) . Sajna a hétvége emiatt nem igazán fog érdemi tesztet eredményezni nálam :(

A workaround is jobb mint a semmi;-) Várjuk a javítást:
"clamav's daily.cvd is busted in version 24257 and 24256. revert daily.cvd to 24255 and disable freshclam until it is fixed upstream. check the mailing lists for updates."

https://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg1580177.html

No: http://lists.clamav.net/pipermail/clamav-users/2018-January/005723.html

I can confirm David Shrimpton's suggestion of adding Vbs.Downloader.Generic-6431223-0 to local.ign2 stops the problem

Mindjárt ki is próbálom.

- Am 26.01.2018 um 15:40 schrieb Joel Esler (jesler):
- As previously mentioned, if you downloaded the beta version of ClamAV
- 0.99.3, you will need to completely uninstall it and do a fresh install
- with the production version of 0.99.3 as there are significant code
- differences

bétától függetlenül ez azért eléggé gáz, hogy db code eltérések vannak.. Akkor mit szóljon majd a simple user aki .2-őt használ és .3 -as db "difference" van ?

+


Yes. We've dropped that sig from our side and are currently building a new daily

Az gz...

A tegnapi kiadás nem volt tervezett úgy olvastam és a .99.3beta -t .100-nak fogják átszámozni: http://blog.clamav.net/2018/01/clamav-version-number-adjustment.html

Az már egy külön kérdés, hogy hogyan jutott eszükbe minor update-re gondolni, ha "there are significant code differences" c. történet van...

update:

btw nem tudom ki hogy volt ma clamd* -al, de nálam a mai napon semmi extra esemény nem volt.

Szóval a mai napon 0 esemény. Pedig ma már volt mail forgalom.

ps2: clamav-om maradt ugyan úgy 0.99.2 -es, configja változatlan. Ami extra volt nekem az a clamav-unoff-sigs upgrade + forced update ezen DBkre. Passz hogy ettől javult-e meg, vagy valami el volt kefélve a clamav DBben. :)

nekem is, pentek delben meghalt kb mindenhol a clamd, es ujrainditaskor opedig db serulesre, out of memory-ra panaszkodott. db ujra toltes nem segitett, tobb ram igen.

Nálam is megvolt 26-án, de a friss 0.99.3 segített. Azóta rendben megy.

tegnap este frissitettem a .3-ra, ma delelott megint lehalt mindenutt. kezdek ideges lenni.

Mondjátok, a clamav-nak a placebónál több értelme van?

magaba nem tul sok, de ha behuzol ala par fizetos db-t is akkor mar megfog ezt-azt. nem mindent persze, de a semminel tobb.
email szuresre hasznalom, sok egyeb mellett. pc-re virusirtonak alkalmatlan.

Magában is napi 3-4 vírust megfog nálam.

+1 Most gyorsba megnézve egy dec3-9-ig terjedő clamav logot 321 esetben triggerelt FOUND-ra.

Jó ebbe többek között ilyenek voltak hogy:

Porcupine.Junk.36046.UNOFFICIAL
Sanesecurity.ScamL.699.UNOFFICIAL
Sanesecurity.Badmacro.Doc.stf.UNOFFICIAL
Sanesecurity.Malware.27136.JsHeur.UNOFFICIAL

s a társai. Szóval jó dolog ez, ha van. Bár tény, kliens oldalon megfogná az ottani antivírus valószínűleg, de mi a francnak jusson el a userig, ha az MTAGW kiszűri. :)

Hú, azért ez az unofficial elég durván hozza a false pozitívokat is ...

Van egy-két szabály, ami érdemes a local.ign2 -ben kivételt tenni. Olyan van gyáriban is, amikor rámozdul egy PDF-re.

Ettől függetlenül igazi false pozitívval nagyon ritkán találkozunk, bár azt hozzá kell tennem, hogy junkmail db az nem biztos, hogy a clamavban kezelendő.

Nálam sajnos nem csak pdf-re reagál hibásan.
A webalizer által generált statikus html fájlokban talál véletlenszerűen néha fertőzöttnek tűnőt. Most épp a winnow.malware.m0.url.1064504.UNOFFICIAL jelentkezik többször is.
Ha jól látom, az unofficial adatbázisnak része a Sanesecurity, amit én önállóan is letöltöttem. A false pozitívok többsége Sanesecurity.*.UNOFFICIAL néven jelentkezett, ezért most nem is tudom, hogy valóban az unofficial adatbázisból jöttek, vagy a külön letölött Sanesecurity adatbázisból. De volt benne még sok statisztika html téves detektálás, és korrekt FB javascript kódokat is veszélyesnek ítélt.
A Sanesecurity adatbázist most töröltem, és tesztelem, hogy csak az unofficial mennyi false pozitívot ad.

mert gondolom a webalizer report fileban szerepelnek virusos/feltort siteok cimei, es ezert jogosan blokkolja. whitelisteld azt a konyvtarat.

A találat azonosítója: winnow.malware.m0.url.1064504.UNOFFICIAL
Úgy tűnik, igazad van, erre nem is gondoltam.

Milyen fizetős db-ket használsz? Én csak a securiteinfo-t találtam meg és fizettem elő. Találat nincs sok, de legalább PR értéke van.

Az unofficial signatures történet aprít erősen, meg a Gugli féle safebrowse-ing bekapcsolása.

azt meg a malwarepatrolt, bar ez utobbi nem sokat er

Valakinek bevált egyéb fizetős megoldás?

mire gondolsz? masrol en nem nagyon tudok.
sot nemreg a malwarepatrol elkezdte fogni a google driveos url-eket, emiatt lett 3 nap alatt vagy 100 false positive :( azota ki van kapcsolva...

A'rpi

Ma kezdtem szétnézni milyen előfizetéses lehetőségek vannak. Nem igazán találtam, ezért kérdeztem általánosan.

A SecuriteInfo-ra előfizettem. Az ingyenes részével elégedettek vagyunk.