Achtung bei ClamAV!

[Huschi]

Folgende Hintergrund-Info:
http://www.heise.de/security/meldun...reien-Virenscanners-ClamAV-Update-818035.html

ClamAV < 0.95 ab 15.04.2010 unbrauchbar

Hallo, vor langer Zeit angekündigt, ist morgen der Tag erreicht, an dem ClamAV-Versionen kleiner als 0.95 per Auto-Update ausgeschaltet werden. Siehe: http://www.clamav.net/lang/de/2009/10/05/eol-clamav-094/ Da ich keinen entsprechenden Hinweis auf der Seite finden konnte, poste ich das...

serversupportforum.de

Auf einem älteren Kunden-Server mit openSUSE 10.0 auf dem Postfix und Amavis laufen wurde ClamAV per clamscan aufgerufen.
Symptome:
- Hohe Last der clamscan-Prozesse.
- Die Prozesse beendeten sich nicht.
- Postfix hielt die Verbindung zu Amavis dauerhaft pro Mail aufrecht. (!!!)
- Erst nach ca. 2 Stunden brach Postfix ab und versandt dann einen Bounce.
[edit]
- Es waren immer nur 4 Connections gleichzeitig zum Amavisd möglich.
- Wenn Postfix nicht konnektieren konnte, wurden die Mails in der Queue gehalten.
[/edit]

Erste Abhilfe:
Virus-Scanner im Amavis abschalten:

@bypass_virus_checks_maps = (1);

(Muss i.d.R. lediglich einkommentiert werden.)

Weitere Schritte:
Wahrscheinlich werde ich versuchen ClamAV auf dem Server zu kompilieren.
Aber erstmal muss ich warten bis die clamav.net nicht mehr so stark belastet ist, dass man die Doku dort wieder lesen kann.

huschi.

 

[traced]

Danke für den Hinweis, bei Debian ist z.B. alles mit den Volatile-Repos wieder in Butter, stressfreies Update auf 0.95xx und es geht wieder.

Grüsse
Basti

 

[Armadillo]

Sehr interessant, danke Huschi!

 

[Whistler]

Das Neukompilieren unter SuSE geht inzwischen relativ streßfrei.

• rpm -i clamav-irgendwas.src.rpm
• Neue Quellen nach /usr/src/packages/SOURCES werfen
• /usr/src/packages/SPECS/clamav.spec anpassen (Zeile "Version: 0.96")
• rpmbuild -ba /usr/src/packages/SPECS/clamav.spec
• Wenn fehlerfrei, dann rpm -U /usr/src/packages/RPMS/(arch)/clamav-0.96.(arch).rpm

Seit längerem habe ich in der clamav.spec keine obskuren Anpassungen (Patches oder so) mehr machen müssen.
Alles außer dem letzten Schritt muß man übrigens nicht als root machen.

 

[da2001]

Gibt es für Debian 3.1 noch ne Lösung?
Bei mir geht keine Mail mehr durch
bzw. ging..

 

[Roger Wilco]

Gibt es für Debian 3.1 noch ne Lösung?

Ja. Distributions-Upgrade.

Über zwei Jahre ohne Sicherheits-Updates ist durchaus „mutig”.

 

[Lodda]

Hey Forum,
das Posting vom Whistler hört sich ja wirklich einfach an. Wollte es auch gleich so machen
(SUSE9.3 mit POstfix und amavis)
nur jetzt mault er rum, dass er sendmail und sendmail develop möchte (Abhängigkeiten). Ich habe aber nur postfix.... wenn ich da jetzt sendmail drüber knalle dann haut der mir doch den server völlig durcheinander.
Gibts da n Tipp für nen Noob ??
Schöne Grüsse
vom Lodda

 

[dani]

bitte Hilfe: Clamav 0.88.7 unter Debian Sarge updaten

Hallo, da ich den Abschalttermin von ClamAV < 0.95 verschlafen habe, bitte ich um Hilfe, wie ich auf die aktuelle ClamAV-Version updaten kann, da nun keine Mails mehr durchkommen. Die im Netz verfügbaren Source-Einträge funktionieren alle nicht mehr für Debian Sarge. Bin leider nicht so versiert und mit dist-upgrade kenne ich mich leider nicht so aus. Ist vielleicht ein kleines How-To verfügbar? Gerne zahle ich auch für die Dienstleistung. Danke Dani

 

[Whistler]

nur jetzt mault er rum, dass er sendmail und sendmail develop möchte

Sendmail-devel reicht, es werden nur ein paar Dateien für das Sendmail-Milter-Interface benötigt (falls Du das überhaupt verwendest).

 

[Lodda]

hey whistler, danke für die schnelle antwort.
habe aus den SPECS bei BuildRequires sendmail und sendmail-devel
rausgenommen....jetzt mault er beim build:

configure: error: Cannot find libmilter
error: Bad exit status from /var/tmp/rpm-tmp.29637 (%build)

RPM build errors:
Bad exit status from /var/tmp/rpm-tmp.29637 (%build)

muss ich da nochwas rausnehmen?

Wär echt klasse, wenn du mir da nochmal n anstoß geben könntest.
Schöne Grüsse
Lodda

 

[Whistler]

libmilter ist in sendmail-devel, das mußt Du entweder installieren oder --enable-milter aus der Spec nehmen.

 

[Lodda]

Ach...verflixt...
habe sendmail-devel installiert, aber
jetzt ist mein C++ compiler too old.
Ich glaube ich verzichte auf clamd.
*ärger*
Trotzdem echt DANKE für Deine Hilfe.
Schöne Grüsse vom Lodda

 

[Lodda]

Guten Morgen Welt
Mir hat das keine Ruhe gelassen und ich habe gesucht.
Unter
http://download.opensuse.org/reposi...:/server/SLES_9/i586/clamav-0.95-4.1.i586.rpm
habe ich das rpm runtergeladen und über yast auf meine Suse 9.3 installiert.

Läuft jetzt seit einer Stunde ohne errors.
Danke nochmal für Eure Hilfe
Lodda

 

[Whistler]

SLES9 und Suse93 basieren auf der gleichen Codebasis und einem ähnlichen Bibliotheksstand, das paßt recht gut.

Schön, daß es geht.

 

[elmo]

Upps und da hatte es doch glatt einige Mails vergessen (deferred).... Wie war das noch mal... achja.

 

[traced]

Jungs, weniger in der Nase bohren, mehr um Eure Server kümmern!

 

[killerbees19]

Wie immer: Man weiß es seit Monaten, aber ändern tut man es erst, wenn es nicht mehr funktioniert. Habe meine vServer auch gerade erst aktualisiert. Die Volatile-Repos sind schon klasse


MfG Christian

 

[preun.net]

Hallo.

ich hab leider noch das völlig veralterte debian 3.1 mit Confixx 3.0.9 drauf.

Beim Internetbaron hab ich was gefunden das mir erst mal ermöglicht die vorhandenen Mails abzurufen, klappte aber nicht ganz.

- ich soll von http://falco.netfarm.it/clamav/clamav-sarge/ die debs runterladen. Welche, und da ich erst mal alle geladen hab, wo landen die?

- die ersten beiden stop anweisungen funktionieren
- die Anweisung apt-get remove libclamav3 gibt zurück, libclamav3 nicht installiert.

Was nun?

Dewmentsprechend geben die weiteren Anweisungen natürlich auch nur Fehler aus.

Ich möchte gerne erst die noch vorhandenen Mails abrufen bevor ich den Server neu aufsetze. Kann mir jemand dabei helfen?

Danke & Gruß
Stephan

 

[Huschi]

Welche, und da ich erst mal alle geladen hab, wo landen die?

Das "welche" folgt gleich. Wo sie gelandet sind: Wie hast Du sie runtergeladen?

die Anweisung apt-get remove libclamav3 gibt zurück, libclamav3 nicht installiert.

Lass Dir doch erstmal alle ClamAV-Pakete anzeigen:

dpkg -l|grep clam

Diese deinstallierst Du dann am Besten mit "apt-get --purge remove ...". Damit werden auch die Config-Dateien gelöscht.
Und die selben Pakete installierst Du dann wieder in der neuen Version.

huschi.

 

[preun.net]

Hallo huschi
vielen Dank für das Feedback.

Die debs hab ich gefunden, sind unter "/" gespeichert.

Mit Deiner Info hab ich dann erfolgreich mal die Pakete:
libclamav1, libclamav6, clamav-testfiles & clamav-base gelöscht.

Jetzt bekomme ich noch angezeigt:

dpkg -l|grep clam
rc  clamav-daemon  0.95.3+dfsg-0s anti-virus utility for Unix - scanner daemon
rc  clamav-freshcl 0.95.3+dfsg-0s anti-virus utility for Unix - virus database

allerdings gibt mir der Versuch
apt-get --purge remove clamav-daemon

folgende Meldung aus:

vcvps528:/var/www/web0# apt-get --purge remove clamav-daemon
Reading Package Lists... Done
Building Dependency Tree... Done
Package clamav-daemon is not installed, so not removed
0 upgraded, 0 newly installed, 0 to remove and 68 not upgraded.
W: Couldn't stat source package list http://ftp.freenet.de sarge/main Packages (/var/lib/apt/lists/ftp.freenet.de_debian__dists_sarge_main_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://ftp.freenet.de sarge/contrib Packages (/var/lib/apt/lists/ftp.freenet.de_debian__dists_sarge_contrib_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://ftp.freenet.de sarge/non-free Packages (/var/lib/apt/lists/ftp.freenet.de_debian__dists_sarge_non-free_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://non-us.debian.org sarge/non-US/main Packages (/var/lib/apt/lists/non-us.debian.org_debian-non-us_dists_sarge_non-US_main_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://non-us.debian.org sarge/non-US/contrib Packages (/var/lib/apt/lists/non-us.debian.org_debian-non-us_dists_sarge_non-US_contrib_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://non-us.debian.org sarge/non-US/non-free Packages (/var/lib/apt/lists/non-us.debian.org_debian-non-us_dists_sarge_non-US_non-free_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://ftp.freenet.de sarge/main Packages (/var/lib/apt/lists/ftp.freenet.de_debian__dists_sarge_main_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://ftp.freenet.de sarge/contrib Packages (/var/lib/apt/lists/ftp.freenet.de_debian__dists_sarge_contrib_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://ftp.freenet.de sarge/non-free Packages (/var/lib/apt/lists/ftp.freenet.de_debian__dists_sarge_non-free_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://non-us.debian.org sarge/non-US/main Packages (/var/lib/apt/lists/non-us.debian.org_debian-non-us_dists_sarge_non-US_main_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://non-us.debian.org sarge/non-US/contrib Packages (/var/lib/apt/lists/non-us.debian.org_debian-non-us_dists_sarge_non-US_contrib_binary-i386_Packages) - stat (2 No such file or directory)
W: Couldn't stat source package list http://non-us.debian.org sarge/non-US/non-free Packages (/var/lib/apt/lists/non-us.debian.org_debian-non-us_dists_sarge_non-US_non-free_binary-i386_Packages) - stat (2 No such file or directory)
W: You may want to run apt-get update to correct these problems

Ebendso natürlich clamav-freshcl aber ich vermute hier, dass der ein oder andere Buchstabe fehlt. Das war bei clamav-testfiles auch der Fall. Ich hab gegooglet und clamav-freshclam gefunden, auchhier bekomme ich obige Info, dass clamav-freshclam garnicht eingerichtet ist.

Gruß
Stephan