Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff ***UNCHECKED***

w_2022F · Post by **w_2022F** » Wed 5. Feb 2025, 14:41

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Seit Update auf KH 25.0

Server-Betriebssystem + Version
Ubuntu 24.04 LTS

Eingesetzte Server-Virtualisierung-Technologie
keine

KeyHelp-Version + Build-Nummer
25.0 (Build 3391)

Problembeschreibung / Fehlermeldungen
Seit dem Update kommen Emails mit Anhang mit dem Betreff "*** UNCHECKED *** an.

Erwartetes Ergebnis

Tatsächliches Ergebnis

Schritte zur Reproduktion

Zusätzliche Informationen
Es wurden keine Einstellungen an Virenscanner, E-Mail Server und rspamd vorgenommen.
Bei rspamd ist bei den betreffenden E-Mails der Eintrag: CLAM_VIRUS_FAIL (0) [failed to scan and retransmits exceed] vorhanden und "rewrite subject" wurde ausgeführt.

engel1963 · Post by **engel1963** » Wed 5. Feb 2025, 14:48

Kann ich bestätigen. Dienst Clamav läuft nicht und lässt sich auch nicht starten über den Adminbereich. Fehler kann ich gerade nicht auslesen bin noch unterwegs.

Post by **Florian** » Wed 5. Feb 2025, 14:53

Hallo,

viewtopic.php?p=51025#p51025

engel1963 · Post by **engel1963** » Wed 5. Feb 2025, 15:59

Danke für den Hinweis. Läuft.

rockr · Post by **rockr** » Fri 7. Feb 2025, 11:39

Hallo,
bei mir funktioniert der Lösungsansatz leider nicht.
Folgendes habe ich gemacht
1. In der Datei: /lib/systemd/system/clamav-daemon.service, die Zeile mit Requires=clamav-daemon.socket auskommentieren
2. systemctl daemon-reload
3. service clamav-daemon restart

Die Datei schaut bei mir wie folgt aus

Code: Select all

[Unit]
Description=Clam AntiVirus userspace daemon
Documentation=man:clamd(8) man:clamd.conf(5) https://docs.clamav.net/
# Requires=clamav-daemon.socket
# Check for database existence
ConditionPathExistsGlob=/var/lib/clamav/main.{c[vl]d,inc}
ConditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc}

[Service]
ExecStart=/usr/sbin/clamd --foreground=true
# Reload the database
ExecReload=/bin/kill -USR2 $MAINPID
TimeoutStartSec=420

[Install]
WantedBy=multi-user.target
Also=clamav-daemon.socket

Noch eine Idee woran es liegen kann?

Post by **Florian** » Fri 7. Feb 2025, 11:51

Hallo,

es wäre hilfreich mitzuteilen, was für ein Fehler nun kommt beim Starten des Clamav

rockr · Post by **rockr** » Fri 7. Feb 2025, 12:09

Es kommt keine Fehlermeldung.

Post by **Florian** » Fri 7. Feb 2025, 12:14

Ja irgendwas wird der Dienst doch mitteilen?

systemctl status clamav-daemon?

Logdateien?

rockr · Post by **rockr** » Fri 7. Feb 2025, 12:22

Für mich schaut es normal aus.

Weitere Infos zum Server
OS: Debian 12.9 (64-bit)
KeyHelp: 25.0 (Build 3398)
AV: ClamAV 1.0.7

Status

Code: Select all

● clamav-daemon.service - Clam AntiVirus userspace daemon
     Loaded: loaded (/lib/systemd/system/clamav-daemon.service; enabled; preset: enabled)
    Drop-In: /etc/systemd/system/clamav-daemon.service.d
             └─extend.conf
     Active: active (running) since Fri 2025-02-07 11:30:37 CET; 48min ago
TriggeredBy: ● clamav-daemon.socket
       Docs: man:clamd(8)
             man:clamd.conf(5)
             https://docs.clamav.net/
   Main PID: 1565757 (clamd)
      Tasks: 2 (limit: 38289)
     Memory: 1.3G
        CPU: 12.671s
     CGroup: /system.slice/clamav-daemon.service
             └─1565757 /usr/sbin/clamd --foreground=true

clamav.log

Code: Select all

Fri Feb  7 11:30:37 2025 -> +++ Started at Fri Feb  7 11:30:37 2025
Fri Feb  7 11:30:37 2025 -> Received 1 file descriptor(s) from systemd.
Fri Feb  7 11:30:37 2025 -> clamd daemon 1.0.7 (OS: Linux, ARCH: x86_64, CPU: x86_64)
Fri Feb  7 11:30:37 2025 -> Log file size limited to 4294967295 bytes.
Fri Feb  7 11:30:37 2025 -> Reading databases from /var/lib/clamav
Fri Feb  7 11:30:37 2025 -> Not loading PUA signatures.
Fri Feb  7 11:30:37 2025 -> Bytecode: Security mode set to "TrustSigned".
Fri Feb  7 11:30:48 2025 -> Loaded 8704151 signatures.
Fri Feb  7 11:30:50 2025 -> TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd.
Fri Feb  7 11:30:50 2025 -> LOCAL: Received AF_UNIX SOCK_STREAM socket from systemd.
Fri Feb  7 11:30:50 2025 -> Limits: Global time limit set to 120000 milliseconds.
Fri Feb  7 11:30:50 2025 -> Limits: Global size limit set to 104857600 bytes.
Fri Feb  7 11:30:50 2025 -> Limits: File size limit set to 26214400 bytes.
Fri Feb  7 11:30:50 2025 -> Limits: Recursion level limit set to 16.
Fri Feb  7 11:30:50 2025 -> Limits: Files limit set to 10000.
Fri Feb  7 11:30:50 2025 -> Limits: MaxEmbeddedPE limit set to 10485760 bytes.
Fri Feb  7 11:30:50 2025 -> Limits: MaxHTMLNormalize limit set to 10485760 bytes.
Fri Feb  7 11:30:50 2025 -> Limits: MaxHTMLNoTags limit set to 2097152 bytes.
Fri Feb  7 11:30:50 2025 -> Limits: MaxScriptNormalize limit set to 5242880 bytes.
Fri Feb  7 11:30:50 2025 -> Limits: MaxZipTypeRcg limit set to 1048576 bytes.
Fri Feb  7 11:30:50 2025 -> Limits: MaxPartitions limit set to 50.
Fri Feb  7 11:30:50 2025 -> Limits: MaxIconsPE limit set to 100.
Fri Feb  7 11:30:50 2025 -> Limits: MaxRecHWP3 limit set to 16.
Fri Feb  7 11:30:50 2025 -> Limits: PCREMatchLimit limit set to 10000.
Fri Feb  7 11:30:50 2025 -> Limits: PCRERecMatchLimit limit set to 5000.
Fri Feb  7 11:30:50 2025 -> Limits: PCREMaxFileSize limit set to 26214400.
Fri Feb  7 11:30:50 2025 -> Archive support enabled.
Fri Feb  7 11:30:50 2025 -> AlertExceedsMax heuristic detection disabled.
Fri Feb  7 11:30:50 2025 -> Heuristic alerts enabled.
Fri Feb  7 11:30:50 2025 -> Portable Executable support enabled.
Fri Feb  7 11:30:50 2025 -> ELF support enabled.
Fri Feb  7 11:30:50 2025 -> Mail files support enabled.
Fri Feb  7 11:30:50 2025 -> OLE2 support enabled.
Fri Feb  7 11:30:50 2025 -> PDF support enabled.
Fri Feb  7 11:30:50 2025 -> SWF support enabled.
Fri Feb  7 11:30:50 2025 -> HTML support enabled.
Fri Feb  7 11:30:50 2025 -> XMLDOCS support enabled.
Fri Feb  7 11:30:50 2025 -> HWP3 support enabled.
Fri Feb  7 11:30:50 2025 -> Self checking every 3600 seconds.

freshclam.log

Code: Select all

Fri Feb  7 12:25:33 2025 -> Received signal: wake up
Fri Feb  7 12:25:33 2025 -> ClamAV update process started at Fri Feb  7 12:25:33 2025
Fri Feb  7 12:25:33 2025 -> daily.cld database is up-to-date (version: 27542, sigs: 2072368, f-level: 90, builder: raynman)
Fri Feb  7 12:25:33 2025 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Fri Feb  7 12:25:33 2025 -> bytecode.cld database is up-to-date (version: 335, sigs: 86, f-level: 90, builder: raynman)
Fri Feb  7 12:25:33 2025 -> --------------------------------------

Post by **Alexander** » Fri 7. Feb 2025, 13:10

Wie sieht diese Datei aus?

Code: Select all

/etc/clamav/clamd.conf

rockr · Post by **rockr** » Fri 7. Feb 2025, 13:14

Code: Select all

#Automatically Generated by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
# TemporaryDirectory is not set to its default /tmp here to make overriding
# the default with environment variables TMPDIR/TMP/TEMP possible
User clamav
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks false
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog false
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 5
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
OnAccessMaxFileSize 5M

Post by **Alexander** » Fri 7. Feb 2025, 13:47

Ersetzt sie einmal mit der hier:

Code: Select all

#Automatically Generated by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
TCPSocket 3310
TCPAddr localhost
# TemporaryDirectory is not set to its default /tmp here to make overriding
# the default with environment variables TMPDIR/TMP/TEMP possible
User clamav
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks false
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog false
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 30
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
PidFile /var/run/clamav/clamd.pid
OnAccessMaxFileSize 5M
ConcurrentDatabaseReload no

und starte den clamav-daemon einmal neu - anschließend 30 Sekunden warten und dann sollte es gehen.

rockr · Post by **rockr** » Fri 7. Feb 2025, 14:13

Danke für den Lösungsvorschlag, leider hat es nicht funktioniert.
Was mich etwas verwundert, dass ich keine Fehlermeldungen bekomme.

Post by **Florian** » Fri 7. Feb 2025, 15:42

Lauscht der Clamd auf Port 3310?

Mal mit netstat oder ss prüfen

Code: Select all

netstat -tulpen | grep 3310
tcp        0      0 127.0.0.1:3310          0.0.0.0:*               LISTEN      122        2019552    391177/clamd        
tcp6       0      0 ::1:3310                :::*                    LISTEN      122        2019551    391177/clamd

rockr · Post by **rockr** » Fri 7. Feb 2025, 15:47

Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED [GELÖST]

Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED [GELÖST]

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED

Re: Nach Update auf KeyHelp 25 haben emails mit Anlage im Betreff UNCHECKED