ClamAV Virus Database Updates waren disabled

[Fezzi]

---------------------------------------------------------------------------


Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ich bin mir da nicht sicher aber da es sich um zwei relativ neu installierte Systeme handelt und das erst nach dem KH Upgrade auf Version 25 aufgetreten/aufgefallen ist, evtl...


Server-Betriebssystem + Version
Debian 12.9 (64-bit)


Eingesetzte Server-Virtualisierung-Technologie
KVM


KeyHelp-Version + Build-Nummer
25.0 (Build 3394)


Problembeschreibung / Fehlermeldungen
ClamAV Virus DB Updates war disabled

Erwartetes Ergebnis
Das regelmaessige ClamAV Updates gemacht werden und der Serivce laeuft

Tatsächliches Ergebnis
Es wurden keine Updates gemacht da der Service disabled war

Schritte zur Reproduktion
Schwer zu sagen, es handelt sich um zwei relativ neu Installierte Debian 12.9 Systeme und auf Beiden war das Update disabled.

Zusätzliche Informationen
Auf beiden System hat die Abfrage

Code: Select all

systemctl status clamav-freshclam

folgendes ausgeworfen...

Code: Select all

clamav-freshclam.service - ClamAV virus database updater
     Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; disabled; preset: enabled)
     Active: inactive (dead)
       Docs: man:freshclam(1)
             man:freshclam.conf(5)
             https://docs.clamav.net/

nach einem manuellen Start mit

Code: Select all

sudo systemctl enable --now clamav-freshclam

lauft wieder alles....

[tab-kh]

Sehe das leider erst jetzt. Bei mir ist clamav-freshclam.service ebenso disabled wie bei dir. Ebenfalls Debian 12.9
Da es keine Antworten gibt hier im Thread, gehe ich jetzt mal davon aus, dass deine Lösung die offizielle Lösung ist und enable das auch mal wieder manuell auf allen Servern. Jedenfalls solange keine gegenteiligen Aussagen von offizieller Seite kommen.

Bisher war ich davon ausgegangen, dass die fehlende Aktualisierung eventuell mit dem Einsatz von rspamd zusammenhängen könnte. Aber die Aktualisierung wieder zu starten dürfte ja bis auf ein paar eventuell verschwendete Systemressourcen (foffentlich) kein Problem machen. Ich werde es mal im Auge behalten.

[Daniel]

Hi,

habe eben einmal auf meinem Privaten geschaut.
Der ist unauffällig. Ist auch schon eine ältere hochgezogene Instanz.

Code: Select all

:~# systemctl status clamav-freshclam
● clamav-freshclam.service - ClamAV virus database updater
     Loaded: loaded (/lib/systemd/system/clamav-freshclam.service; [b]enabled[/b]; preset: enabled)
     Active: active (running) since Mon 2025-02-17 13:02:57 CET; 2 weeks 0 days ago
       Docs: man:freshclam(1)
             man:freshclam.conf(5)
             https://docs.clamav.net/

[Ralph]

So wie ich das in Erinnerung habe werden die DB Updates bei den aktuellen Clamd Versionen intern durchgeführt und nicht mehr über einen extra freshclam Service ...

[tab-kh]

Hmm, ich habe mal gesucht und nichts gefunden, was darauf hindeuten würde. Vielleicht habe ich auch nur nicht an der richtigen Stelle gesucht. Ich habe auch mal in die freshclam.log Dateien geschaut. Da finde ich nur ein wöchentliches Signatur-Update.

Könnte aber natürlich sein, dass clamav nur noch für den wöchentlichen, kompletten Virenscan benutzt wird. Dann braucht es natürlich nur noch vor dem wöchentlichen Lauf neue Signaturen laden. Den Rest, also Virenscan bei Mails, konnte eventuell rspamd übernehmen. Irgend sowas habe ich auch mal hier im Forum (glaube ich) gelesen. Dann würde das Sinn ergeben, der Service würde gar nicht mehr gebraucht, wenn freshclam einfach über das entsprechende, wöchentlich gestartete Skript vor clamav ausgeführt würde. Jedenfalls lief freshclam die letzten Wochen auf meinen Servern definitiv laut Logs nur jeweils vor dem wöchentlichen Virenscan. Dann müsste ich jetzt mal schauen, wie ich die Änderung jetzt wieder rückgängig mache und logwatch dazu bringe, nicht täglich zu meckern sondern sich mit dem einen Lauf pro Woche zufrieden zu geben.

[Ralph]

Ich bin mir nicht mehr ganz sicher ... es ging dabei auch wieder um "rate limits" und damals wurde etwas geändert ...
Allerdings hab ich vorhin mal geschaut unter /var/lib/clamav und die files sehen nicht wirklich aktuell aus, freshclam.log ist leer:

UpdateLogFile /var/log/clamav/freshclam.log

allerdings zeigt clamav.log:

Code: Select all

# cat /var/log/clamav/clamav.log
Mon Mar  3 03:59:04 2025 -> SelfCheck: Database status OK.
Mon Mar  3 04:59:04 2025 -> SelfCheck: Database status OK.
Mon Mar  3 05:59:04 2025 -> SelfCheck: Database status OK.
Mon Mar  3 07:43:48 2025 -> SelfCheck: Database status OK.
Mon Mar  3 09:01:45 2025 -> SelfCheck: Database status OK.
Mon Mar  3 10:20:11 2025 -> SelfCheck: Database status OK.
Mon Mar  3 11:35:01 2025 -> SelfCheck: Database status OK.
Mon Mar  3 12:44:40 2025 -> SelfCheck: Database status OK.
Mon Mar  3 13:52:47 2025 -> SelfCheck: Database status OK.
Mon Mar  3 15:01:48 2025 -> SelfCheck: Database status OK.
Mon Mar  3 16:17:00 2025 -> SelfCheck: Database status OK.

Wenn ich mich nicht irre ist seit Debian 11 der clamav-freshclam service inactive (dead) ...

Code: Select all

# cat /etc/logrotate.d/clamav-freshclam

/var/log/clamav/freshclam.log {
     rotate 12
     weekly
     compress
     delaycompress
     missingok
     create 640  clamav adm
     postrotate
     if [ -d /run/systemd/system ]; then
         systemctl -q is-active clamav-freshclam && systemctl kill --signal=SIGHUP clamav-freshclam || true
     else
         invoke-rc.d clamav-freshclam reload-log > /dev/null || true
     fi
     endscript
     }

[Ralph]

@Fezzi das ist wohl richtig so:

Code: Select all

systemctl enable --now clamav-freshclam

danach wurde dann auch einiges aktualisiert:

Code: Select all

ls -l /var/lib/clamav
-rw-r--r-- 1 clamav clamav      3448 Feb 16 14:42 bofhland_cracked_URL.ndb
-rw-r--r-- 1 clamav clamav    106247 Feb 16 14:42 bofhland_malware_attach.hdb
-rw-r--r-- 1 clamav clamav       610 Feb 16 14:42 bofhland_malware_URL.ndb
-rw-r--r-- 1 clamav clamav      9676 Feb 16 14:42 bofhland_phishing_URL.ndb
-rw-r--r-- 1 clamav clamav    289733 Feb 16 14:42 bytecode.cvd
-rw-r--r-- 1 clamav clamav 205230080 Mar  3 19:02 daily.cld
-rw-r--r-- 1 clamav clamav    315227 Mar  3 19:03 foxhole_filename.cdb
-rw-r--r-- 1 clamav clamav     52436 Feb 16 14:42 foxhole_generic.cdb
-rw-r--r-- 1 clamav clamav        69 Feb 16 14:42 freshclam.dat
-rw-r--r-- 1 clamav clamav     48176 Feb 16 14:42 hackingteam.hsb
-rw-r--r-- 1 clamav clamav 170479789 Feb 16 14:42 main.cvd
-rw-r--r-- 1 clamav clamav    100848 Feb 16 14:42 malwarehash.hsb
-rw-r--r-- 1 clamav clamav   4673942 Mar  3 19:03 phish.ndb
-rw-r--r-- 1 clamav clamav     46018 Mar  3 19:03 rogue.hdb
-rw-r--r-- 1 clamav clamav     12518 Feb 16 14:42 sanesecurity.ftm
-rw-r--r-- 1 clamav clamav       513 Feb 16 14:42 sigwhitelist.ign2
-rw-r--r-- 1 clamav clamav      1391 Feb 16 14:42 spamattach.hdb
-rw-r--r-- 1 clamav clamav        64 Feb 16 14:42 winnow.attachments.hdb
-rw-r--r-- 1 clamav clamav        66 Feb 16 14:42 winnow_bad_cw.hdb
-rw-r--r-- 1 clamav clamav        65 Feb 16 14:42 winnow_extended_malware.hdb
-rw-r--r-- 1 clamav clamav        65 Feb 16 14:42 winnow_malware.hdb
-rw-r--r-- 1 clamav clamav     14709 Feb 16 14:42 winnow_malware_links.ndb

[tab-kh]

Ich frage mich halt, ob ClamAV bei Keyhelp überhaupt noch zu was anderem genutzt wird als einmal die Woche die Dateien zu scannen. Falls nein, dann wäre ein stündliches Update der Signaturen natürlich etwas Overkill. Und ich gehe fast davon aus, ein on access Scan ist wohl nicht aktiv, außer halt bei Mailanhängen. Wenn das jetzt rspamd mit einem entsprechenden Modul abdeckt, dann reicht das eigentlich so wie es war. Aber da sich meine Server sowieso nicht überarbeiten, ist das für mich nicht so dringend .

Trotzdem interessiert es mich aber schon, was der rspamd da so macht in puncto Signaturen für den Virenscan bei ein- und ausgehenden Mails. Muss mal im Journal nach den DNS-Queries graben.

Meine alten Server haben früher auch stündlich Signaturen geladen und sind dadurch nicht merklich belastet gewesen, die jetzigen sind deutlich performanter, die merken das sowieso nicht. 6 vCores für einen Mailserver *hust*. Aber nur, weil ich da definitiv 8GB RAM haben will. Der ursprüngliche Mailserver hatte vorJahren 2C/8GB und hat dicke gereicht, Signatur-Updates hin oder her.

[Fezzi]

@Fezzi das ist wohl richtig so:

Code: Select all

systemctl enable --now clamav-freshclam

danach wurde dann auch einiges aktualisiert:

Code: Select all

ls -l /var/lib/clamav
-rw-r--r-- 1 clamav clamav      3448 Feb 16 14:42 bofhland_cracked_URL.ndb
-rw-r--r-- 1 clamav clamav    106247 Feb 16 14:42 bofhland_malware_attach.hdb
-rw-r--r-- 1 clamav clamav       610 Feb 16 14:42 bofhland_malware_URL.ndb
........

Ich habe seit diesem einen Mal manuell anstossen keine Probleme mehr... alles laeuft rund und wie es soll... zumindest lt. logs...

Ich frage mich halt, ob ClamAV bei Keyhelp überhaupt noch zu was anderem genutzt wird als einmal die Woche die Dateien zu scannen. .......

Ich gehe davon aus dass es zum scannen der Mails benutzt wird...

[Ralph]

Trotzdem interessiert es mich aber schon, was der rspamd da so macht in puncto Signaturen für den Virenscan bei ein- und ausgehenden Mails. Muss mal im Journal nach den DNS-Queries graben.

Es scheint auf jeden Fall Wirkung zu zeigen
Ich verwende Pflogsumm für tägliche postfix reports und einer davon wurde heute morgen nicht zugestellt (trotz whitelisting)

clamav: virus found: "Sanesecurity.Malware.31166.UNOFFICIAL"

Ich muß da wohl noch einige rules auf die ignorelist seetzen ...