Page 1 of 1
ClamAV Virus Database Updates waren disabled
Posted: Fri 14. Feb 2025, 10:59
by Fezzi
---------------------------------------------------------------------------
Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ich bin mir da nicht sicher aber da es sich um zwei relativ neu installierte Systeme handelt und das erst nach dem KH Upgrade auf Version 25 aufgetreten/aufgefallen ist, evtl...
Server-Betriebssystem + Version
Debian 12.9 (64-bit)
Eingesetzte Server-Virtualisierung-Technologie
KVM
KeyHelp-Version + Build-Nummer
25.0 (Build 3394)
Problembeschreibung / Fehlermeldungen
ClamAV Virus DB Updates war disabled
Erwartetes Ergebnis
Das regelmaessige ClamAV Updates gemacht werden und der Serivce laeuft
Tatsächliches Ergebnis
Es wurden keine Updates gemacht da der Service disabled war
Schritte zur Reproduktion
Schwer zu sagen, es handelt sich um zwei relativ neu Installierte Debian 12.9 Systeme und auf Beiden war das Update disabled.
Zusätzliche Informationen
Auf beiden System hat die Abfrage
folgendes ausgeworfen...
Code: Select all
clamav-freshclam.service - ClamAV virus database updater
Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; disabled; preset: enabled)
Active: inactive (dead)
Docs: man:freshclam(1)
man:freshclam.conf(5)
https://docs.clamav.net/
nach einem manuellen Start mit
Code: Select all
sudo systemctl enable --now clamav-freshclam
lauft wieder alles....
Re: ClamAV Virus Database Updates waren disabled
Posted: Mon 3. Mar 2025, 12:18
by tab-kh
Sehe das leider erst jetzt. Bei mir ist clamav-freshclam.service ebenso disabled wie bei dir. Ebenfalls Debian 12.9
Da es keine Antworten gibt hier im Thread, gehe ich jetzt mal davon aus, dass deine Lösung die offizielle Lösung ist und enable das auch mal wieder manuell auf allen Servern. Jedenfalls solange keine gegenteiligen Aussagen von offizieller Seite kommen.
Bisher war ich davon ausgegangen, dass die fehlende Aktualisierung eventuell mit dem Einsatz von rspamd zusammenhängen könnte. Aber die Aktualisierung wieder zu starten dürfte ja bis auf ein paar eventuell verschwendete Systemressourcen (foffentlich) kein Problem machen. Ich werde es mal im Auge behalten.
Re: ClamAV Virus Database Updates waren disabled
Posted: Mon 3. Mar 2025, 16:24
by Daniel
Hi,
habe eben einmal auf meinem Privaten geschaut.
Der ist unauffällig. Ist auch schon eine ältere hochgezogene Instanz.
Code: Select all
:~# systemctl status clamav-freshclam
● clamav-freshclam.service - ClamAV virus database updater
Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; [b]enabled[/b]; preset: enabled)
Active: active (running) since Mon 2025-02-17 13:02:57 CET; 2 weeks 0 days ago
Docs: man:freshclam(1)
man:freshclam.conf(5)
https://docs.clamav.net/
Re: ClamAV Virus Database Updates waren disabled
Posted: Mon 3. Mar 2025, 16:28
by Ralph
So wie ich das in Erinnerung habe werden die DB Updates bei den aktuellen Clamd Versionen intern durchgeführt und nicht mehr über einen extra freshclam Service ...
Re: ClamAV Virus Database Updates waren disabled
Posted: Mon 3. Mar 2025, 17:41
by tab-kh
Hmm, ich habe mal gesucht und nichts gefunden, was darauf hindeuten würde. Vielleicht habe ich auch nur nicht an der richtigen Stelle gesucht. Ich habe auch mal in die freshclam.log Dateien geschaut. Da finde ich nur ein wöchentliches Signatur-Update.
Könnte aber natürlich sein, dass clamav nur noch für den wöchentlichen, kompletten Virenscan benutzt wird. Dann braucht es natürlich nur noch vor dem wöchentlichen Lauf neue Signaturen laden. Den Rest, also Virenscan bei Mails, konnte eventuell rspamd übernehmen. Irgend sowas habe ich auch mal hier im Forum (glaube ich) gelesen. Dann würde das Sinn ergeben, der Service würde gar nicht mehr gebraucht, wenn freshclam einfach über das entsprechende, wöchentlich gestartete Skript vor clamav ausgeführt würde. Jedenfalls lief freshclam die letzten Wochen auf meinen Servern definitiv laut Logs nur jeweils vor dem wöchentlichen Virenscan. Dann müsste ich jetzt mal schauen, wie ich die Änderung jetzt wieder rückgängig mache und logwatch dazu bringe, nicht täglich zu meckern sondern sich mit dem einen Lauf pro Woche zufrieden zu geben.
Re: ClamAV Virus Database Updates waren disabled
Posted: Mon 3. Mar 2025, 17:43
by Ralph
Ich bin mir nicht mehr ganz sicher ... es ging dabei auch wieder um "rate limits"
und damals wurde etwas geändert ...
Allerdings hab ich vorhin mal geschaut unter /var/lib/clamav und die files sehen nicht wirklich aktuell aus,
freshclam.log ist leer:
UpdateLogFile /var/log/clamav/freshclam.log
allerdings zeigt clamav.log:
Code: Select all
# cat /var/log/clamav/clamav.log
Mon Mar 3 03:59:04 2025 -> SelfCheck: Database status OK.
Mon Mar 3 04:59:04 2025 -> SelfCheck: Database status OK.
Mon Mar 3 05:59:04 2025 -> SelfCheck: Database status OK.
Mon Mar 3 07:43:48 2025 -> SelfCheck: Database status OK.
Mon Mar 3 09:01:45 2025 -> SelfCheck: Database status OK.
Mon Mar 3 10:20:11 2025 -> SelfCheck: Database status OK.
Mon Mar 3 11:35:01 2025 -> SelfCheck: Database status OK.
Mon Mar 3 12:44:40 2025 -> SelfCheck: Database status OK.
Mon Mar 3 13:52:47 2025 -> SelfCheck: Database status OK.
Mon Mar 3 15:01:48 2025 -> SelfCheck: Database status OK.
Mon Mar 3 16:17:00 2025 -> SelfCheck: Database status OK.
Wenn ich mich nicht irre ist seit Debian 11 der clamav-
freshclam service inactive (dead) ...
Code: Select all
# cat /etc/logrotate.d/clamav-freshclam
/var/log/clamav/freshclam.log {
rotate 12
weekly
compress
delaycompress
missingok
create 640 clamav adm
postrotate
if [ -d /run/systemd/system ]; then
systemctl -q is-active clamav-freshclam && systemctl kill --signal=SIGHUP clamav-freshclam || true
else
invoke-rc.d clamav-freshclam reload-log > /dev/null || true
fi
endscript
}
Re: ClamAV Virus Database Updates waren disabled
Posted: Mon 3. Mar 2025, 18:48
by Ralph
@Fezzi das ist wohl richtig so:
Code: Select all
systemctl enable --now clamav-freshclam
danach wurde dann auch einiges aktualisiert:
Code: Select all
ls -l /var/lib/clamav
-rw-r--r-- 1 clamav clamav 3448 Feb 16 14:42 bofhland_cracked_URL.ndb
-rw-r--r-- 1 clamav clamav 106247 Feb 16 14:42 bofhland_malware_attach.hdb
-rw-r--r-- 1 clamav clamav 610 Feb 16 14:42 bofhland_malware_URL.ndb
-rw-r--r-- 1 clamav clamav 9676 Feb 16 14:42 bofhland_phishing_URL.ndb
-rw-r--r-- 1 clamav clamav 289733 Feb 16 14:42 bytecode.cvd
-rw-r--r-- 1 clamav clamav 205230080 Mar 3 19:02 daily.cld
-rw-r--r-- 1 clamav clamav 315227 Mar 3 19:03 foxhole_filename.cdb
-rw-r--r-- 1 clamav clamav 52436 Feb 16 14:42 foxhole_generic.cdb
-rw-r--r-- 1 clamav clamav 69 Feb 16 14:42 freshclam.dat
-rw-r--r-- 1 clamav clamav 48176 Feb 16 14:42 hackingteam.hsb
-rw-r--r-- 1 clamav clamav 170479789 Feb 16 14:42 main.cvd
-rw-r--r-- 1 clamav clamav 100848 Feb 16 14:42 malwarehash.hsb
-rw-r--r-- 1 clamav clamav 4673942 Mar 3 19:03 phish.ndb
-rw-r--r-- 1 clamav clamav 46018 Mar 3 19:03 rogue.hdb
-rw-r--r-- 1 clamav clamav 12518 Feb 16 14:42 sanesecurity.ftm
-rw-r--r-- 1 clamav clamav 513 Feb 16 14:42 sigwhitelist.ign2
-rw-r--r-- 1 clamav clamav 1391 Feb 16 14:42 spamattach.hdb
-rw-r--r-- 1 clamav clamav 64 Feb 16 14:42 winnow.attachments.hdb
-rw-r--r-- 1 clamav clamav 66 Feb 16 14:42 winnow_bad_cw.hdb
-rw-r--r-- 1 clamav clamav 65 Feb 16 14:42 winnow_extended_malware.hdb
-rw-r--r-- 1 clamav clamav 65 Feb 16 14:42 winnow_malware.hdb
-rw-r--r-- 1 clamav clamav 14709 Feb 16 14:42 winnow_malware_links.ndb
Re: ClamAV Virus Database Updates waren disabled
Posted: Mon 3. Mar 2025, 20:28
by tab-kh
Ich frage mich halt, ob ClamAV bei Keyhelp überhaupt noch zu was anderem genutzt wird als einmal die Woche die Dateien zu scannen. Falls nein, dann wäre ein stündliches Update der Signaturen natürlich etwas Overkill. Und ich gehe fast davon aus, ein on access Scan ist wohl nicht aktiv, außer halt bei Mailanhängen. Wenn das jetzt rspamd mit einem entsprechenden Modul abdeckt, dann reicht das eigentlich so wie es war. Aber da sich meine Server sowieso nicht überarbeiten, ist das für mich nicht so dringend
.
Trotzdem interessiert es mich aber schon, was der rspamd da so macht in puncto Signaturen für den Virenscan bei ein- und ausgehenden Mails. Muss mal im Journal nach den DNS-Queries graben.
Meine alten Server haben früher auch stündlich Signaturen geladen und sind dadurch nicht merklich belastet gewesen, die jetzigen sind deutlich performanter, die merken das sowieso nicht. 6 vCores für einen Mailserver
*hust*. Aber nur, weil ich da definitiv 8GB RAM haben will. Der ursprüngliche Mailserver hatte vorJahren 2C/8GB und hat dicke gereicht, Signatur-Updates hin oder her.
Re: ClamAV Virus Database Updates waren disabled
Posted: Tue 4. Mar 2025, 03:44
by Fezzi
Ralph wrote: ↑Mon 3. Mar 2025, 18:48
@Fezzi das ist wohl richtig so:
Code: Select all
systemctl enable --now clamav-freshclam
danach wurde dann auch einiges aktualisiert:
Code: Select all
ls -l /var/lib/clamav
-rw-r--r-- 1 clamav clamav 3448 Feb 16 14:42 bofhland_cracked_URL.ndb
-rw-r--r-- 1 clamav clamav 106247 Feb 16 14:42 bofhland_malware_attach.hdb
-rw-r--r-- 1 clamav clamav 610 Feb 16 14:42 bofhland_malware_URL.ndb
........
Ich habe seit diesem einen Mal manuell anstossen keine Probleme mehr... alles laeuft rund und wie es soll... zumindest lt. logs...
tab-kh wrote: ↑Mon 3. Mar 2025, 20:28
Ich frage mich halt, ob ClamAV bei Keyhelp überhaupt noch zu was anderem genutzt wird als einmal die Woche die Dateien zu scannen. .......
Ich gehe davon aus dass es zum scannen der Mails benutzt wird...
Re: ClamAV Virus Database Updates waren disabled
Posted: Tue 4. Mar 2025, 07:52
by Ralph
tab-kh wrote: ↑Mon 3. Mar 2025, 20:28
Trotzdem interessiert es mich aber schon, was der rspamd da so macht in puncto Signaturen für den Virenscan bei ein- und ausgehenden Mails. Muss mal im Journal nach den DNS-Queries graben.
Es scheint auf jeden Fall Wirkung zu zeigen
Ich verwende Pflogsumm für tägliche postfix reports und einer davon wurde heute morgen nicht zugestellt (trotz whitelisting)
clamav: virus found: "Sanesecurity.Malware.31166.UNOFFICIAL"
Ich muß da wohl noch einige rules auf die ignorelist seetzen ...