"Unchecked" im Betreff bei signierten Mails [GELÖST]

[EurenikZ]

Nachtrag (Tippfehler) bin schon halb eingeschlafen ...

Code: Select all

sudo killall freshclam

nicht
sudo killall clamav-freshclam

Also weder den alten noch den neuen Prozessnamen gibt es nicht:

Code: Select all

freshclamav: no process found

Welche Hardwareressourcen stehen dir denn überhaupt auf der Kiste zur Verfügung?

4 GB RAM, 4vCPUs, 80 GB SSD.

[tab-kh]

Swap konfiguriert? 4GB können schnell mal grenzwertig sein. Ansonsten halt wirklich die Virenprüfung abstellen.

[Ralph]

Swap konfiguriert? 4GB können schnell mal grenzwertig sein. Ansonsten halt wirklich die Virenprüfung abstellen.

Genau, ohne Swap oder ausreichend dedicated RAM geht es nicht!

Also weder den alten noch den neuen Prozessnamen gibt es nicht:

Ich habe hier ein Testsystem mit nur 2GB RAM, wobei die oben genannten Services laufen, wenn die System Virenprüfung (Antivirus-Scanner) deaktiviert bleibt, der System Antivirus-Scanner funktioniert nur bei ordentlich RAM und CPU.

Es geht um den Status Output dieser Services via SSH Terminal die Prozess Liste im KH Panel hilft hierbei nicht wirklich weiter.

Code: Select all

sudo systemctl status clamav-freshclam.service
sudo systemctl status clamav-daemon.service

Vermutlich hat sich der freshclam service aufgehängt ...
Daher bitte mal ab hier alles in dieser Reihenfolge durchführen:


Panel:
Konfiguration > Antivirus-Scanner > AUS
Konfiguration > E-Mail-Server > E-Mail-Virenprüfung > AN
CLI:

Code: Select all

sudo systemctl stop clamav-freshclam.service
sudo killall reshclam
sudo killall freshclam
# warten bis freshclam abgeschlossen wurde dann:
sudo systemctl start clamav-freshclam.service
sudo systemctl status clamav-freshclam.service
sudo systemctl restart clamav-daemon.service
sudo systemctl status clamav-daemon.service

[EurenikZ]

Es geht um den Status Output dieser Services via SSH Terminal die Prozess Liste im KH Panel hilft hierbei nicht wirklich weiter.

Code: Select all

sudo systemctl status clamav-freshclam.service
sudo systemctl status clamav-daemon.service

Vermutlich hat sich der freshclam service aufgehängt ...
Daher bitte mal ab hier alles in dieser Reihenfolge durchführen:


Panel:
Konfiguration > Antivirus-Scanner > AUS
Konfiguration > E-Mail-Server > E-Mail-Virenprüfung > AN
CLI:

Code: Select all

sudo systemctl stop clamav-freshclam.service
sudo killall reshclam
sudo killall freshclam
# warten bis freshclam abgeschlossen wurde dann:
sudo systemctl start clamav-freshclam.service
sudo systemctl status clamav-freshclam.service
sudo systemctl restart clamav-daemon.service
sudo systemctl status clamav-daemon.service

Ja meine Ausgabe war ja aus der Shell. Die Schritte habe ich so durchgeführt. Beim Status sind beide Failed wegen zu wenig RAM (oom-kill). Und beim killall Befehl kommt eben "no process found". Dein erster killall-Befehl "reshclam" ist ja aber auch falsch bzw. doppelt mit dem darunter

Komisch, auf meinem Testsystem funktionieren die Schritte... Wenn ich den Dienst dann wieder beende und killall versuche, kommt auch "no process found".

[Ralph]

Wenn der Virescanner im Panel deaktiviert wurde, dann könnte es helfen das System einmal neu zu starten und danach freshclam aktualisieren.
Falls es nichts bringt, hilft nur ein HW Upgrade > mehr RAM!

Komisch, auf meinem Testsystem funktionieren die Schritte... Wenn ich den Dienst dann wieder beende und killall versuche, kommt auch "no process found".

Das killall ist nur um sicherzustellen das kein freshclam Prozess mehr läuft, danach freshclam (update) ausführen und diese Dienste neu starten.

Code: Select all

free -mh

zeigt Speicher und Swap Auslastung

[EurenikZ]

Habe jetzt SWAP konfiguriert. Der ClamAV-freshclam Dienst läuft jetzt:

Code: Select all

root@keyhelp:~# systemctl status clamav-freshclam.service
● clamav-freshclam.service - ClamAV virus database updater
     Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; disabled; preset: enabled)
     Active: active (running) since Fri 2023-12-22 10:40:56 CET; 53min ago
       Docs: man:freshclam(1)
             man:freshclam.conf(5)
             https://docs.clamav.net/
   Main PID: 1171784 (freshclam)
      Tasks: 1 (limit: 2315)
     Memory: 59.6M
        CPU: 17.519s
     CGroup: /system.slice/clamav-freshclam.service
             └─1171784 /usr/bin/freshclam -d --foreground=true

Dec 22 10:41:41 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:41 2023 -> Database test passed.
Dec 22 10:41:41 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:41 2023 -> bofhland_malware_URL.ndb updated (version: custom database, sigs: 4)
Dec 22 10:41:42 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:42 2023 -> Testing database: '/var/lib/clamav/tmp.1258c1c50b/clamav-160749ab440c3b46df9e409778496a61.tmp-bofhland_phishing_URL.ndb' ...
Dec 22 10:41:42 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:42 2023 -> Database test passed.
Dec 22 10:41:42 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:42 2023 -> bofhland_phishing_URL.ndb updated (version: custom database, sigs: 72)
Dec 22 10:41:45 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:45 2023 -> Testing database: '/var/lib/clamav/tmp.1258c1c50b/clamav-6621d077d0399646bd6659072dee7d27.tmp-bofhland_malware_attach.hdb' ...
Dec 22 10:41:45 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:45 2023 -> Database test passed.
Dec 22 10:41:45 keyhelp.domain.tld freshclam[1171784]: Fri Dec 22 10:41:45 2023 -> bofhland_malware_attach.hdb updated (version: custom database, sigs: 1836)
Dec 22 10:41:45 keyhelp.domain.tld freshclam[1171784]: ERROR: Fri Dec 22 10:41:45 2023 -> NotifyClamd: Can't connect to clamd on localhost:3310: Connection refused
Dec 22 10:41:45 keyhelp.domain.tld freshclam[1171784]: ERROR: Fri Dec 22 10:41:45 2023 -> NotifyClamd: Can't connect to clamd on localhost:3310: Connection refused

Aber der Daemon nicht:

Code: Select all

root@keyhelp:~# systemctl status clamav-daemon.service
○ clamav-daemon.service - Clam AntiVirus userspace daemon
     Loaded: loaded (/lib/systemd/system/clamav-daemon.service; enabled; preset: enabled)
    Drop-In: /etc/systemd/system/clamav-daemon.service.d
             └─extend.conf
     Active: inactive (dead)
  Condition: start condition failed at Fri 2023-12-22 11:33:21 CET; 5s ago
             └─ ConditionPathExistsGlob=/var/lib/clamav/main.{c[vl]d,inc} was not met
       Docs: man:clamd(8)
             man:clamd.conf(5)
             https://docs.clamav.net/

Dec 22 10:18:38 keyhelp.domain.tld systemd[1]: clamav-daemon.service - Clam AntiVirus userspace daemon was skipped because of an unmet condition check (ConditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc}).
Dec 22 10:21:35 keyhelp.domain.tld systemd[1]: clamav-daemon.service - Clam AntiVirus userspace daemon was skipped because of an unmet condition check (ConditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc}).
Dec 22 10:42:03 keyhelp.domain.tld systemd[1]: clamav-daemon.service - Clam AntiVirus userspace daemon was skipped because of an unmet condition check (ConditionPathExistsGlob=/var/lib/clamav/main.{c[vl]d,inc}).
Dec 22 11:33:21 keyhelp.domain.tld systemd[1]: clamav-daemon.service - Clam AntiVirus userspace daemon was skipped because of an unmet condition check (ConditionPathExistsGlob=/var/lib/clamav/main.{c[vl]d,inc}).

Diese beiden Dateien unter /var/lib/clamav/ existieren auf beiden meiner Systeme nicht, ist das normal?

[Ralph]

Diese beiden Dateien unter /var/lib/clamav/ existieren auf beiden meiner Systeme nicht, ist das normal?

Wurde in KH der Antivirus-Scanner deaktiviert und Email Check aktiviert und danach das System neu gestartet?
Falls ja, nochmal prüfen ob ausreichend ram und swap verfügbar sind

Code: Select all

free -mh

Code: Select all

sudo systemctl start clamav-daemon
sudo systemctl status clamav-daemon

Eventl liegen auch defekte DBs unter /var/lib/clamav/ .... diesen Ordner sichern DBs löschen und nochmal sudo freshclam starten, abwarten bis durchgelaufen dann den clamav-daemaon neu starten.

[EurenikZ]

Ja, hatte neu gestartet. Auslastung ist derzeit immer ziemlich niedrig, er nutzt den SWAP daher gar nicht.

Habe den kompletten /var/lib/clamav Ordner neu anlegen lassen, neu gestartet, aber weiterhin selber Fehler :/

[Jolinar]

Code: Select all

Condition: start condition failed at Fri 2023-12-22 11:33:21 CET; 5s ago
             └─ ConditionPathExistsGlob=/var/lib/clamav/main.{c[vl]d,inc} was not met

Wenn ich mich nicht irre, kann der die Signaturdateien nicht finden.
Was sagen die Logfiles dazu?

[EurenikZ]

Mir fällt gerade auf, dass diesmal eine andere Datei angemeckert wird:

Code: Select all

  Condition: start condition failed at Fri 2023-12-22 14:37:02 CET; 39s ago
             └─ ConditionPathExistsGlob=/var/lib/clamav/daily.{c[vl]d,inc} was not met

Code: Select all

root@keyhelp:/var/log/clamav# tail freshclam.log
Fri Dec 22 14:35:53 2023 -> winnow_malware.hdb is up-to-date (version: custom database)
Fri Dec 22 14:35:55 2023 -> winnow_malware_links.ndb is up-to-date (version: custom database)
Fri Dec 22 14:35:56 2023 -> winnow_extended_malware.hdb is up-to-date (version: custom database)
Fri Dec 22 14:35:57 2023 -> winnow.attachments.hdb is up-to-date (version: custom database)
Fri Dec 22 14:35:58 2023 -> winnow_bad_cw.hdb is up-to-date (version: custom database)
Fri Dec 22 14:36:00 2023 -> bofhland_cracked_URL.ndb is up-to-date (version: custom database)
Fri Dec 22 14:36:01 2023 -> bofhland_malware_URL.ndb is up-to-date (version: custom database)
Fri Dec 22 14:36:02 2023 -> bofhland_phishing_URL.ndb is up-to-date (version: custom database)
Fri Dec 22 14:36:04 2023 -> bofhland_malware_attach.hdb is up-to-date (version: custom database)
Fri Dec 22 14:36:04 2023 -> --------------------------------------

Code: Select all

root@keyhelp:/var/log/clamav# tail clamav.log
Thu Dec 21 15:01:23 2023 -> Reading databases from /var/lib/clamav
Thu Dec 21 15:01:23 2023 -> Not loading PUA signatures.
Thu Dec 21 15:01:23 2023 -> Bytecode: Security mode set to "TrustSigned".
Thu Dec 21 15:04:43 2023 -> +++ Started at Thu Dec 21 15:04:43 2023
Thu Dec 21 15:04:43 2023 -> Received 0 file descriptor(s) from systemd.
Thu Dec 21 15:04:43 2023 -> clamd daemon 1.0.3 (OS: Linux, ARCH: x86_64, CPU: x86_64)
Thu Dec 21 15:04:43 2023 -> Log file size limited to 4294967295 bytes.
Thu Dec 21 15:04:43 2023 -> Reading databases from /var/lib/clamav
Thu Dec 21 15:04:43 2023 -> Not loading PUA signatures.
Thu Dec 21 15:04:43 2023 -> Bytecode: Security mode set to "TrustSigned".

[Ralph]

Ja, hatte neu gestartet. Auslastung ist derzeit immer ziemlich niedrig, er nutzt den SWAP daher gar nicht.
Habe den kompletten /var/lib/clamav Ordner neu anlegen lassen, neu gestartet, aber weiterhin selber Fehler :/

Falls die Signatur Sourcen unter Antivirus Scanner geändert wurden, bitte nochmal die originalen verwenden "Good detection rate"
Du mußt dabei die komplette Prozedur erneut durchführen, damit freshclam die Signaturen aktualisiert.

Ist die swap denn aktiv und in der fstab vorhanden? (das ist ein Beispiel)

Code: Select all

swapon -s
fallocate -l 5G /swapfile
chown root:root /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile

# in fstab ganz unten hinzufügen
nano /etc/fstab

/swapfile swap swap defaults 0 0

# dann
swapon -s
free -mh

danach reboot

[EurenikZ]

Es steht bereits auf "Gute Erkennungsrate". Habe den SWAP genau so eingerichtet, ist also aktiv: https://www.digitalocean.com/community/ ... -debian-11

Dass er frei ist liegt ja vermutlich daran dass er erst bei 10% freiem RAM anspringt.

Code: Select all

               total        used        free      shared  buff/cache   available
Mem:           3.8Gi       2.1Gi       845Mi        37Mi       1.1Gi       1.7Gi
Swap:          2.0Gi          0B       2.0Gi

[Ralph]

Es steht bereits auf "Gute Erkennungsrate". Habe den SWAP genau so eingerichtet, ist also aktiv: https://www.digitalocean.com/community/ ... -debian-11

Dass er frei ist liegt ja vermutlich daran dass er erst bei 10% freiem RAM anspringt.

Code: Select all

               total        used        free      shared  buff/cache   available
Mem:           3.8Gi       2.1Gi       845Mi        37Mi       1.1Gi       1.7Gi
Swap:          2.0Gi          0B       2.0Gi

Das swapfile kann etwas größer sein z.b. wie oben 5GB
Bitte zeig uns noch den Output von

Code: Select all

cat /proc/sys/vm/swappiness

### edit ###
Falls vorher andere Signaturen aktiv waren, dürfen diese unter /var/lib/clamav nicht mehr auftauchen > entfernen
auch mal in die /etc/clamav/freshclam.conf reinschauen

[Jolinar]

Ich hab jetzt mal auf meinem Testsetup den clamav Daemon neu gestartet...In meinem Logfile steht da einiges mehr als bei dir:

Code: Select all

Fri Dec 22 14:44:22 2023 -> +++ Started at Fri Dec 22 14:44:22 2023
Fri Dec 22 14:44:22 2023 -> Received 0 file descriptor(s) from systemd.
Fri Dec 22 14:44:22 2023 -> clamd daemon 1.0.3 (OS: Linux, ARCH: x86_64, CPU: x86_64)
Fri Dec 22 14:44:22 2023 -> Log file size limited to 4294967295 bytes.
Fri Dec 22 14:44:22 2023 -> Reading databases from /var/lib/clamav
Fri Dec 22 14:44:22 2023 -> Not loading PUA signatures.
Fri Dec 22 14:44:22 2023 -> Bytecode: Security mode set to "TrustSigned".
Fri Dec 22 14:44:35 2023 -> Loaded 8828864 signatures.
Fri Dec 22 14:44:38 2023 -> TCP: Bound to [localhost]:3310
Fri Dec 22 14:44:38 2023 -> TCP: Setting connection queue length to 15
Fri Dec 22 14:44:38 2023 -> TCP: Bound to [localhost]:3310
Fri Dec 22 14:44:38 2023 -> TCP: Setting connection queue length to 15
Fri Dec 22 14:44:38 2023 -> Limits: Global time limit set to 120000 milliseconds.
Fri Dec 22 14:44:38 2023 -> Limits: Global size limit set to 104857600 bytes.
Fri Dec 22 14:44:38 2023 -> Limits: File size limit set to 26214400 bytes.
Fri Dec 22 14:44:38 2023 -> Limits: Recursion level limit set to 16.
Fri Dec 22 14:44:38 2023 -> Limits: Files limit set to 10000.
Fri Dec 22 14:44:38 2023 -> Limits: MaxEmbeddedPE limit set to 10485760 bytes.
Fri Dec 22 14:44:38 2023 -> Limits: MaxHTMLNormalize limit set to 10485760 bytes.
Fri Dec 22 14:44:38 2023 -> Limits: MaxHTMLNoTags limit set to 2097152 bytes.
Fri Dec 22 14:44:38 2023 -> Limits: MaxScriptNormalize limit set to 5242880 bytes.
Fri Dec 22 14:44:38 2023 -> Limits: MaxZipTypeRcg limit set to 1048576 bytes.
Fri Dec 22 14:44:38 2023 -> Limits: MaxPartitions limit set to 50.
Fri Dec 22 14:44:38 2023 -> Limits: MaxIconsPE limit set to 100.
Fri Dec 22 14:44:38 2023 -> Limits: MaxRecHWP3 limit set to 16.
Fri Dec 22 14:44:38 2023 -> Limits: PCREMatchLimit limit set to 10000.
Fri Dec 22 14:44:38 2023 -> Limits: PCRERecMatchLimit limit set to 5000.
Fri Dec 22 14:44:38 2023 -> Limits: PCREMaxFileSize limit set to 26214400.
Fri Dec 22 14:44:38 2023 -> Archive support enabled.
Fri Dec 22 14:44:38 2023 -> AlertExceedsMax heuristic detection disabled.
Fri Dec 22 14:44:38 2023 -> Heuristic alerts enabled.
Fri Dec 22 14:44:38 2023 -> Portable Executable support enabled.
Fri Dec 22 14:44:38 2023 -> ELF support enabled.
Fri Dec 22 14:44:38 2023 -> Mail files support enabled.
Fri Dec 22 14:44:38 2023 -> OLE2 support enabled.
Fri Dec 22 14:44:38 2023 -> PDF support enabled.
Fri Dec 22 14:44:38 2023 -> SWF support enabled.
Fri Dec 22 14:44:38 2023 -> HTML support enabled.
Fri Dec 22 14:44:38 2023 -> XMLDOCS support enabled.
Fri Dec 22 14:44:38 2023 -> HWP3 support enabled.
Fri Dec 22 14:44:38 2023 -> Self checking every 3600 seconds.

Gib uns doch mal alle Logfileeinträge ab der Zeile, wo der Daemon startet:

Code: Select all

 -> +++ Started at ...

[EurenikZ]

Mehr steht da nicht^^ Nach "Bytecode: Security mode set to "TrustSigned"" ist nach einem Neustart immer Schluss.