Antiviren-Scan schlägt immer fehl

xeppel · Post by **xeppel** » Sat 23. Sep 2023, 10:43

Server-Betriebssystem + Version
(z.B. Ubuntu 20.04)
Debian 11.7

Eingesetzte Server-Virtualisierung-Technologie
(z.B. keine, OpenVZ, KVM, XEN, etc.)
KVM

KeyHelp-Version + Build-Nummer
(z.B. 22.0 - Build 2366)
23.1.1 (Build 3016)

Problembeschreibung / Fehlermeldungen
Der wöchentliche Antiviren-Scan schlägt immer fehl. Er hat noch nie funktioniert.

Erwartetes Ergebnis
Erfolg.

Tatsächliches Ergebnis

Code: Select all

Abort, anti virus scanner failed.

------------- AV SCAN --------------
Start: 2023-09-23 01:00:01

---------- SCAN LOCATIONS ----------
/home/users
/tmp
/var/tmp

------ UPDATE VIRUS DATABASE -------
Start: 2023-09-23 01:00:01
End: 2023-09-23 01:00:44
Status: Success

--------------- END ----------------
End: 2023-09-23 01:05:09
Status: Abort, anti virus scanner failed.

Schritte zur Reproduktion

Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))

Code: Select all

Sat Sep 23 01:00:01 2023 -> --------------------------------------
Sat Sep 23 01:00:01 2023 -> ClamAV update process started at Sat Sep 23 01:00:01 2023
Sat Sep 23 01:00:01 2023 -> daily.cld database is up-to-date (version: 27039, sigs: 2041306, f-level: 90, builder: raynman)
Sat Sep 23 01:00:01 2023 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Sat Sep 23 01:00:01 2023 -> bytecode.cvd database is up-to-date (version: 334, sigs: 91, f-level: 90, builder: anvilleg)
Sat Sep 23 01:00:11 2023 -> junk.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:13 2023 -> jurlbl.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:14 2023 -> phish.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:16 2023 -> rogue.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:17 2023 -> sanesecurity.ftm is up-to-date (version: custom database)
Sat Sep 23 01:00:19 2023 -> sigwhitelist.ign2 is up-to-date (version: custom database)
Sat Sep 23 01:00:20 2023 -> scam.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:21 2023 -> spamimg.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:22 2023 -> spamattach.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:24 2023 -> blurl.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:25 2023 -> foxhole_generic.cdb is up-to-date (version: custom database)
Sat Sep 23 01:00:26 2023 -> foxhole_filename.cdb is up-to-date (version: custom database)
Sat Sep 23 01:00:27 2023 -> malwarehash.hsb is up-to-date (version: custom database)
Sat Sep 23 01:00:29 2023 -> hackingteam.hsb is up-to-date (version: custom database)
Sat Sep 23 01:00:30 2023 -> winnow_malware.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:31 2023 -> winnow_malware_links.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:33 2023 -> winnow_extended_malware.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:34 2023 -> winnow.attachments.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:35 2023 -> winnow_bad_cw.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:36 2023 -> bofhland_cracked_URL.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:38 2023 -> bofhland_malware_URL.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:39 2023 -> bofhland_phishing_URL.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:40 2023 -> bofhland_malware_attach.hdb is up-to-date (version: custom database)
Sat Sep 23 01:00:41 2023 -> porcupine.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:43 2023 -> porcupine.hsb is up-to-date (version: custom database)
Sat Sep 23 01:00:44 2023 -> phishtank.ndb is up-to-date (version: custom database)
Sat Sep 23 01:00:44 2023 -> Testing database: '/var/lib/clamav/tmp.0832113b47/clamav-689b8ae866a17dec612a22074cd473c1.tmp-urlhaus.ndb' ...
Sat Sep 23 01:00:44 2023 -> Database test passed.
Sat Sep 23 01:00:44 2023 -> urlhaus.ndb updated (version: custom database, sigs: 3895)
Sat Sep 23 01:00:44 2023 -> WARNING: Clamd was NOT notified: Can't connect to clamd through /var/run/clamav/clamd.ctl: No such file or directory

Code: Select all

root@vps:/home/user# sudo systemctl status clamav-daemon.service
● clamav-daemon.service - Clam AntiVirus userspace daemon
     Loaded: loaded (/lib/systemd/system/clamav-daemon.service; disabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/clamav-daemon.service.d
             └─extend.conf
     Active: inactive (dead)
       Docs: man:clamd(8)
             man:clamd.conf(5)
             https://docs.clamav.net/

Sep 15 03:09:11 vps.XXXXXX.tld systemd[1]: /lib/systemd/system/clamav-daemon.service:12: Standard output type syslog is obsolete, automatically updating to journal. Please update your unit file, and consider removing the setting altogether.
Sep 15 03:09:11 vps.XXXXXX.tld systemd[1]: /lib/systemd/system/clamav-daemon.service:12: Standard output type syslog is obsolete, automatically updating to journal. Please update your unit file, and consider removing the setting altogether.
Sep 17 06:25:02 vps.XXXXXX.tld systemd[1]: /lib/systemd/system/clamav-daemon.service:12: Standard output type syslog is obsolete, automatically updating to journal. Please update your unit file, and consider removing the setting altogether.
Sep 23 10:45:01 vps.XXXXXX.tld systemd[1]: /lib/systemd/system/clamav-daemon.service:12: Standard output type syslog is obsolete, automatically updating to journal. Please update your unit file, and consider removing the setting altogether.
Sep 23 10:45:09 vps.XXXXXX.tld systemd[1]: /lib/systemd/system/clamav-daemon.service:12: Standard output type syslog is obsolete, automatically updating to journal. Please update your unit file, and consider removing the setting altogether.

Unter " /var/run" gibt es nicht einmal den Ordner "clamav".

Post by **Jolinar** » Sat 23. Sep 2023, 10:50

Setz den Dienst mal zurück:

Code: Select all

sudo systemctl stop clamav-daemon.service
sudo rm /var/log/clamav/freshclam.log
service sudo systemctl start clamav-daemon.service

Und jetzt nochmal schauen, ob der Dienst aktiv ist:

Code: Select all

sudo systemctl status clamav-daemon.service

xeppel · Post by **xeppel** » Sat 23. Sep 2023, 10:51

danke, läuft!

Post by **Jolinar** » Sat 23. Sep 2023, 10:59

@Alexander:

Das Problem tritt ja öfter auf und hat als Ursache, daß das Logfile nicht freigegeben wurde.
Kann man das seitens KeyHelp abfangen, um diese Fehlerquelle zu eliminieren?
Ein händisches Löschen des Logfiles zur Fehlerbehebung ist ja nun auch nicht das Gelbe vom Ei...

Ralph · Post by **Ralph** » Sat 23. Sep 2023, 11:10

Es gab kürzlich einige Updates bei den clamav packages, danach gab es auch hier Aussetzer.
Habe auch den Eindruck die scans brauchen seitdem etwas länger ...
Prüfe mal die Anzahl der Files in den Webs, könnte auch durch fehlerhafte Cache settings von CMS oder Shops verursacht werden wo die cached files nicht gelöscht werden und sich prächtig vermehren oder in den User /tmp durch Fehler oder Attacken sich einiges angesammelt hat.

Code: Select all

find /home/users -xdev -type d -print | xargs -n1 du --inodes -sS | sort -rn | head -10

Antiviren-Scan schlägt immer fehl [GELÖST]

Antiviren-Scan schlägt immer fehl

Re: Antiviren-Scan schlägt immer fehl [GELÖST]

Re: Antiviren-Scan schlägt immer fehl

Re: Antiviren-Scan schlägt immer fehl

Re: Antiviren-Scan schlägt immer fehl