KeyHelp Community

Ich habe ein Problemchen mit freshclam nach dem Lauf von logrotate. Leider, wie so oft, nicht auf allen Keyhelp-Servern. Weshalb ich das auch nicht unbedingt als Keyhelp-Problem ansehe.

Nach dem Lauf von logrotate schreibt freshclam auf derzeit einem Server genau noch ein Mal in die Datei /var/log/clamav/freshclam.log. Danach herrscht Schweigen im Walde, obwohl ich in der /var/log/clamav/clamav.log, /var/log/syslog und auch im Journal sehe, dass freshclam sehr wohl weiterhin regelmäßig aufgerufen wird und seine Arbeit verrichtet. Hier mal einige der Logs. Logrotate

Code: Select all

root@mail:~# cat /var/log/clamav/freshclam.log
Sun Aug 20 01:00:01 2023 -> --------------------------------------
Sun Aug 20 01:00:01 2023 -> ClamAV update process started at Sun Aug 20 01:00:01 2023
Sun Aug 20 01:00:02 2023 -> daily.cld database is up-to-date (version: 27005, sigs: 2039951, f-level: 90, builder: raynman)
Sun Aug 20 01:00:02 2023 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Sun Aug 20 01:00:02 2023 -> bytecode.cvd database is up-to-date (version: 334, sigs: 91, f-level: 90, builder: anvilleg)
Sun Aug 20 01:00:10 2023 -> junk.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:11 2023 -> jurlbl.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:13 2023 -> phish.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:14 2023 -> rogue.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:15 2023 -> sanesecurity.ftm is up-to-date (version: custom database)
Sun Aug 20 01:00:16 2023 -> sigwhitelist.ign2 is up-to-date (version: custom database)
Sun Aug 20 01:00:18 2023 -> scam.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:19 2023 -> spamimg.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:20 2023 -> spamattach.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:21 2023 -> blurl.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:23 2023 -> foxhole_generic.cdb is up-to-date (version: custom database)
Sun Aug 20 01:00:24 2023 -> foxhole_filename.cdb is up-to-date (version: custom database)
Sun Aug 20 01:00:25 2023 -> malwarehash.hsb is up-to-date (version: custom database)
Sun Aug 20 01:00:26 2023 -> hackingteam.hsb is up-to-date (version: custom database)
Sun Aug 20 01:00:27 2023 -> winnow_malware.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:29 2023 -> winnow_malware_links.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:30 2023 -> winnow_extended_malware.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:31 2023 -> winnow.attachments.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:32 2023 -> winnow_bad_cw.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:33 2023 -> bofhland_cracked_URL.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:34 2023 -> bofhland_malware_URL.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:35 2023 -> bofhland_phishing_URL.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:37 2023 -> bofhland_malware_attach.hdb is up-to-date (version: custom database)
Sun Aug 20 01:00:38 2023 -> porcupine.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:39 2023 -> porcupine.hsb is up-to-date (version: custom database)
Sun Aug 20 01:00:40 2023 -> phishtank.ndb is up-to-date (version: custom database)
Sun Aug 20 01:00:40 2023 -> Testing database: '/var/lib/clamav/tmp.f10ec088cc/clamav-d568e3eccfe7e240311448b503d76d27.tmp-urlhaus.ndb' ...
Sun Aug 20 01:00:40 2023 -> Database test passed.
Sun Aug 20 01:00:40 2023 -> urlhaus.ndb updated (version: custom database, sigs: 4254)
Sun Aug 20 01:00:40 2023 -> Clamd successfully notified about the update.
root@mail:~#

clamav.log:

Code: Select all

root@mail:~# cat /var/log/clamav/clamav.log
Sun Aug 20 00:00:43 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 00:00:56 2023 -> Database correctly reloaded (8812769 signatures)
Sun Aug 20 00:00:56 2023 -> Activating the newly loaded database...
Sun Aug 20 01:00:40 2023 -> SelfCheck: Database modification detected. Forcing reload.
Sun Aug 20 01:00:40 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 01:00:54 2023 -> Database correctly reloaded (8812733 signatures)
Sun Aug 20 01:00:54 2023 -> Activating the newly loaded database...
Sun Aug 20 01:01:13 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 01:01:26 2023 -> Database correctly reloaded (8812733 signatures)
Sun Aug 20 01:01:26 2023 -> Activating the newly loaded database...
Sun Aug 20 02:01:27 2023 -> SelfCheck: Database status OK.
Sun Aug 20 02:02:27 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 02:02:40 2023 -> Database correctly reloaded (8812717 signatures)
Sun Aug 20 02:02:40 2023 -> Activating the newly loaded database...
Sun Aug 20 03:03:05 2023 -> SelfCheck: Database modification detected. Forcing reload.
Sun Aug 20 03:03:05 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 03:03:18 2023 -> Database correctly reloaded (8812725 signatures)
Sun Aug 20 03:03:18 2023 -> Activating the newly loaded database...
Sun Aug 20 04:03:19 2023 -> SelfCheck: Database status OK.
Sun Aug 20 04:04:14 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 04:04:28 2023 -> Database correctly reloaded (8812716 signatures)
Sun Aug 20 04:04:28 2023 -> Activating the newly loaded database...
Sun Aug 20 05:04:29 2023 -> SelfCheck: Database modification detected. Forcing reload.
Sun Aug 20 05:04:29 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 05:04:42 2023 -> Database correctly reloaded (8812848 signatures)
Sun Aug 20 05:04:42 2023 -> Activating the newly loaded database...
Sun Aug 20 05:05:32 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 05:05:45 2023 -> Database correctly reloaded (8812761 signatures)
Sun Aug 20 05:05:45 2023 -> Activating the newly loaded database...
Sun Aug 20 06:05:46 2023 -> SelfCheck: Database status OK.
Sun Aug 20 06:06:35 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 06:06:48 2023 -> Database correctly reloaded (8812760 signatures)
Sun Aug 20 06:06:48 2023 -> Activating the newly loaded database...
Sun Aug 20 07:07:13 2023 -> SelfCheck: Database modification detected. Forcing reload.
Sun Aug 20 07:07:13 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 07:07:27 2023 -> Database correctly reloaded (8812787 signatures)
Sun Aug 20 07:07:27 2023 -> Activating the newly loaded database...
Sun Aug 20 08:07:28 2023 -> SelfCheck: Database status OK.
Sun Aug 20 08:08:37 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 08:08:51 2023 -> Database correctly reloaded (8812790 signatures)
Sun Aug 20 08:08:51 2023 -> Activating the newly loaded database...
Sun Aug 20 09:08:52 2023 -> SelfCheck: Database status OK.
Sun Aug 20 09:09:50 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 09:10:03 2023 -> Database correctly reloaded (8812811 signatures)
Sun Aug 20 09:10:03 2023 -> Activating the newly loaded database...
Sun Aug 20 10:10:04 2023 -> SelfCheck: Database modification detected. Forcing reload.
Sun Aug 20 10:10:04 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 10:10:17 2023 -> Database correctly reloaded (8812811 signatures)
Sun Aug 20 10:10:17 2023 -> Activating the newly loaded database...
Sun Aug 20 10:11:06 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 10:11:19 2023 -> Database correctly reloaded (8812816 signatures)
Sun Aug 20 10:11:19 2023 -> Activating the newly loaded database...
Sun Aug 20 11:11:20 2023 -> SelfCheck: Database status OK.
Sun Aug 20 11:12:18 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 11:12:31 2023 -> Database correctly reloaded (8812823 signatures)
Sun Aug 20 11:12:31 2023 -> Activating the newly loaded database...
Sun Aug 20 12:12:32 2023 -> SelfCheck: Database status OK.
Sun Aug 20 12:13:00 2023 -> Reading databases from /var/lib/clamav
Sun Aug 20 12:13:13 2023 -> Database correctly reloaded (8812798 signatures)
Sun Aug 20 12:13:13 2023 -> Activating the newly loaded database...
root@mail:~#

freshclam.log.1 (nur das Ende, den Rest der vorhergehenden Woche erspare ich euch)

Code: Select all

Sat Aug 19 22:49:47 2023 -> Clamd successfully notified about the update.
Sat Aug 19 22:49:47 2023 -> --------------------------------------
Sat Aug 19 23:49:47 2023 -> Received signal: wake up
Sat Aug 19 23:49:47 2023 -> ClamAV update process started at Sat Aug 19 23:49:47 2023
Sat Aug 19 23:49:47 2023 -> daily.cld database is up-to-date (version: 27005, sigs: 2039951, f-level: 90, builder: raynman)
Sat Aug 19 23:49:47 2023 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
Sat Aug 19 23:49:47 2023 -> bytecode.cvd database is up-to-date (version: 334, sigs: 91, f-level: 90, builder: anvilleg)
Sat Aug 19 23:49:52 2023 -> junk.ndb is up-to-date (version: custom database)
Sat Aug 19 23:49:53 2023 -> jurlbl.ndb is up-to-date (version: custom database)
Sat Aug 19 23:49:54 2023 -> phish.ndb is up-to-date (version: custom database)
Sat Aug 19 23:49:55 2023 -> rogue.hdb is up-to-date (version: custom database)
Sat Aug 19 23:49:56 2023 -> sanesecurity.ftm is up-to-date (version: custom database)
Sat Aug 19 23:49:57 2023 -> sigwhitelist.ign2 is up-to-date (version: custom database)
Sat Aug 19 23:49:59 2023 -> scam.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:00 2023 -> spamimg.hdb is up-to-date (version: custom database)
Sat Aug 19 23:50:01 2023 -> spamattach.hdb is up-to-date (version: custom database)
Sat Aug 19 23:50:02 2023 -> blurl.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:03 2023 -> foxhole_generic.cdb is up-to-date (version: custom database)
Sat Aug 19 23:50:04 2023 -> foxhole_filename.cdb is up-to-date (version: custom database)
Sat Aug 19 23:50:05 2023 -> malwarehash.hsb is up-to-date (version: custom database)
Sat Aug 19 23:50:07 2023 -> hackingteam.hsb is up-to-date (version: custom database)
Sat Aug 19 23:50:08 2023 -> winnow_malware.hdb is up-to-date (version: custom database)
Sat Aug 19 23:50:09 2023 -> winnow_malware_links.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:10 2023 -> winnow_extended_malware.hdb is up-to-date (version: custom database)
Sat Aug 19 23:50:11 2023 -> winnow.attachments.hdb is up-to-date (version: custom database)
Sat Aug 19 23:50:12 2023 -> winnow_bad_cw.hdb is up-to-date (version: custom database)
Sat Aug 19 23:50:13 2023 -> bofhland_cracked_URL.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:14 2023 -> bofhland_malware_URL.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:16 2023 -> bofhland_phishing_URL.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:17 2023 -> bofhland_malware_attach.hdb is up-to-date (version: custom database)
Sat Aug 19 23:50:18 2023 -> porcupine.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:19 2023 -> porcupine.hsb is up-to-date (version: custom database)
Sat Aug 19 23:50:20 2023 -> phishtank.ndb is up-to-date (version: custom database)
Sat Aug 19 23:50:21 2023 -> Testing database: '/var/lib/clamav/tmp.d8eeb5ec4e/clamav-f2486110b2c394e463b395059d29fc37.tmp-urlhaus.ndb' ...
Sat Aug 19 23:50:21 2023 -> Database test passed.
Sat Aug 19 23:50:21 2023 -> urlhaus.ndb updated (version: custom database, sigs: 4278)
Sat Aug 19 23:50:21 2023 -> Clamd successfully notified about the update.
Sat Aug 19 23:50:21 2023 -> --------------------------------------
Sun Aug 20 00:00:01 2023 -> Received signal: re-opening log file
root@mail:~#

Hat das sonst noch jemand auf seinem Server oder irgendeine Idee was da passiert?

Magst du mal den Inhalt von /etc/logrotate.d/clamav-daemon und /etc/logrotate.d/clamav-freshclam posten, um erstmal auszuschließen, daß da Fehler drin sind?

Weiterhin könntest du mal nach den Zugriiffsrechten von /var/log/clamav/freshclam.log schauen. Klingt nämlich verdächtig danach, daß da nichts mehr geschrieben werden 'darf'...

Jolinar wrote: ↑Sun 20. Aug 2023, 13:24 Magst du mal den Inhalt von /etc/logrotate.d/clamav-daemon und /etc/logrotate.d/clamav-freshclam posten, um erstmal auszuschließen, daß da Fehler drin sind?

Weiterhin könntest du mal nach den Zugriiffsrechten von /var/log/clamav/freshclam.log schauen. Klingt nämlich verdächtig danach, daß da nichts mehr geschrieben werden 'darf'...

Kein Problem, here goes

/etc/logrotate.d/clamav-daemon

Code: Select all

root@mail:~# cat /etc/logrotate.d/clamav-daemon
/var/log/clamav/clamav.log {
     rotate 12
     weekly
     compress
     delaycompress
     create 640  clamav adm
     postrotate
     if [ -d /run/systemd/system ]; then
         systemctl -q is-active clamav-daemon && systemctl kill --signal=SIGHUP clamav-daemon || true
     else
         invoke-rc.d clamav-daemon reload-log > /dev/null || true
     fi
     endscript
     }
root@mail:~#

/etc/logrotate.d/clamav-freshclam

Code: Select all

root@mail:~# cat /etc/logrotate.d/clamav-freshclam
/var/log/clamav/freshclam.log {
     rotate 12
     weekly
     compress
     delaycompress
     missingok
     create 640  clamav adm
     postrotate
     if [ -d /run/systemd/system ]; then
         systemctl -q is-active clamav-freshclam && systemctl kill --signal=SIGHUP clamav-freshclam || true
     else
         invoke-rc.d clamav-freshclam reload-log > /dev/null || true
     fi
     endscript
     }
root@mail:~#

Code: Select all

root@mail:~# ls -l /var/log/clamav/freshclam.log
-rw-r----- 1 clamav clamav 3114 Aug 20 01:00 /var/log/clamav/freshclam.log

Da haben wir wohl den Übeltäter

, sollte m.E. "clamav adm" sein, so ist es jedenfalls auf anderen Servern. Fragt sich nur noch, wieso logrotate hier die Gruppe nicht so gesetzt hat, wie es in /etc/logrotate.d/clamav-freshclam drinsteht.

tab-kh wrote: ↑Sun 20. Aug 2023, 13:53 Da haben wir wohl den Übeltäter , sollte m.E. "clamav adm" sein, so ist es jedenfalls auf anderen Servern. Fragt sich nur noch, wieso logrotate hier die Gruppe nicht so gesetzt hat, wie es in /etc/logrotate.d/clamav-freshclam drinsteht.

Versuche mal eine manuelle Korrektur:
Rechte korrigieren:

Code: Select all

chown clamav:adm /var/log/clamav/freshclam.log

Dienst neu starten:

Code: Select all

systemctl restart logrotate.service

Rotation manuell erzwingen:

Code: Select all

logrotate -vf /etc/logrotate.d/clamav-freshclam

Danach schauen, ob die Zugriffsrechte bzw. Owner/Group stimmen.

Passt momentan. Dann heisst es jetzt wohl weiter beobachten. Was mir zuvor noch aufgefallen ist in der Zwischenzeit. Nach einem Neustart der clamav-freshclam.service und clamav-daemon.service hat freshclam wieder ins Logfile geschrieben auch mit der falschen Gruppe clamav für das freshclam.log.

tab-kh wrote: ↑Sun 20. Aug 2023, 14:23 Passt momentan

Wir haben aber jetzt nur das Problem beseitigt, nicht die Ursache dafür.
Aber ich bin optimistisch, daß wir da auch noch dahinter kommen werden.

tab-kh wrote: ↑Sun 20. Aug 2023, 14:23 Was mir zuvor noch aufgefallen ist in der Zwischenzeit. Nach einem Neustart der clamav-freshclam.service und clamav-daemon.service hat freshclam wieder ins Logfile geschrieben auch mit der falschen Gruppe clamav für das freshclam.log.

Macht ja auch irgendwo Sinn, denn der User clamav hat ja Lese- und Schreibrechte auf das Logfile...

Wir haben nicht mal das Problem beseitigt. Die freshclam.log hat zwar die geforderten owner und group, ist aber komplett leer und es wird da auch immer noch nichts reingeschrieben beim Lauf von freshclam

. Ich starte die Kiste mal neu, ist ja schliesslich Windows

tab-kh wrote: ↑Sun 20. Aug 2023, 15:46 Wir haben nicht mal das Problem beseitigt. Die freshclam.log hat zwar die geforderten owner und group, ist aber komplett leer und es wird da auch immer noch nichts reingeschrieben beim Lauf von freshclam

Dann muß ich heute abend doch noch mal ne lokale VM aufsetzen, um ein bissel zu testen (Ich hab das ganze ClamAV/Freshclam Gedöns von meinen Kisten im Netz verbannt).

Eh voilà! Freshclam schreibt - und die Gruppe steht wieder auf clamav.

Edit: Ich lese da beim Bootvorgang in der Syslog was von cloud-init, ich ahne Böses.

tab-kh wrote: ↑Sun 20. Aug 2023, 15:52 Ich lese da beim Bootvorgang in der Syslog was von cloud-init, ich ahne Böses.

Bin grad unterwegs, kann also nicht nachschauen... Aber cloud-init müsste was mit der Netzwerk Config und dessen Initialisierung zu tun haben

tab-kh wrote: ↑Sun 20. Aug 2023, 15:52 Eh voilà! Freshclam schreibt - und die Gruppe steht wieder auf clamav.

Edit: Ich lese da beim Bootvorgang in der Syslog was von cloud-init, ich ahne Böses.

Kannst du ignorieren, hört sich schlimmer an, als es ist.

https://help.ubuntu.com/community/Cloud ... t%20locale

24unix wrote: ↑Sun 20. Aug 2023, 17:21
tab-kh wrote: ↑Sun 20. Aug 2023, 15:52 Eh voilà! Freshclam schreibt - und die Gruppe steht wieder auf clamav.

Edit: Ich lese da beim Bootvorgang in der Syslog was von cloud-init, ich ahne Böses.
Kannst du ignorieren, hört sich schlimmer an, als es ist.

https://help.ubuntu.com/community/Cloud ... t%20locale

Ok, ich ignoriere es, ich ignoriere eh schon so viel, dass es darauf jetzt auch nicht mehr ankommt. Ich gehe auch nicht davon aus, dass es dieses konkrete Problem verursacht. Habe halt schon wieder andere mögliche Probleme im Hinterkopf, die es eventuell verursachen könnte. Ich weiss auch, dass ich es auf einfache Weise abschalten könnte. Ich weiss aber nicht, was von diesem Strato Zeug dann noch funktioniert bzw was ich alles dafür umstellen müsste. Ich lasse ja sogar den DHCP-Client leben, der alle 4-5 Minuten mit dem DHCP-Server telefoniert wegen der IP. Sehe zwar keinen Sinn darin, weil, wenn sich die IP unterwegs mal eben ändert, dann haben meine Domains ein Problem mit der Erreichbarkeit

. Oder wird die von Strato weitervermietet, wenn der Server gerade mal down ist? Ich gehe davon aus, dass diese IP zwingend fix sein muss, ob mit oder ohne DHCP. Zumindest bis nach 30 Tagen die Geld-zurück Garantie ausgelaufen ist, Bisher war sie es auch

.

Ich denke mir halt, irgendeinen Sinn wird es schon haben, dass keine Netzwerk-Installationen angeboten werden sondern nur einige Images.

Als ich ganz frisch in meinem aktuellem Job war habe ich, um Inkompatibilitäten zu vermeiden, auch ein Ubuntu aufgesetzt.
Dem cloud Kram habe ich runtergeworfen, statische IP per systemd-networkd, keine Probleme.

Mittlerweile ist ist die Kiste aber auf Debian, auch keine Probleme, aber ein besseres Gefühl

(Und, nein, ein Ubuntu Focal Fossa auf Bullseye, dann Bookworm bringen sollte man nicht, wenn man nicht Spaß am Basteln und etwas Erfahrung hat …).

Gibt's da kein Bookworm Snap oder sowas?

tab-kh wrote: ↑Sun 20. Aug 2023, 20:18 Gibt's da kein Bookworm Snap oder sowas?

KeyHelp Community

Problem mit logrotate und freshclam.log

Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log

Re: Problem mit logrotate und freshclam.log