vpopmail und Clamscan - hohe Last

[TH-Marcel]

Hallo,

ich besitze einen Server von Strato worauf derzeit SuSE Linux 9.3 (2.6.11.4) läuft.
Bis zum letzten ClamAV Upgrade lief alles rund.

Danach jedoch muss ich erschreckend beobachten, das der User "vpopmail" den Prozess "clamscan" mehrfach startet um auf Viren zu scannen.

Rein logisch ist ja alles gut... jedoch haben diese ca. 3/4 Prozesse eine ungewöhnlich hohe Auslastung (~90%-100%).
Wie man sich vorstellen kann reagiert das System dann nur noch sehr zögerlich.


Ich habe schon mehrfach ClamAV vom System geschmissen und frisch installiert, jedoch ohne Erfolg .

Google hat mir auch nicht gerade weitergeholfen. Außer das ich jetzt weiß das mehrere User ab der Version 0.90.2 von ClamAV sich über die Performance beschweren.

Informationen:
SuSE Linux 9.3 - 2.6.11.4
ClamAV 0.90.2/3304/Sun May 27 06:35:19 2007

Ich habe sicher wieder die hälfte vergessen zu erwähnen .
Vielen Dank schonmal.


Mit freundlichen Grüßen
Marcel

 

[elias5000]

Ich habe schon mehrfach ClamAV vom System geschmissen und frisch installiert, jedoch ohne Erfolg

Das trägt jetzt nicht zu einer Lösung bei, aber ich muss es einfach mal gesagt haben:
Das Neuinstallieren als Lösung hilft vieleicht unter Windows. Du hast es mit einem unixoiden System zu tun. Da sind andere Ansätze gefragt...

SCNR

 

[TH-Marcel]

Des hat mir schon 2x geholfen beim ClamAV.

 

[Inox]

same here

Hallo,
ich habe das gleiche Problem. Server ist ebenfalls bei Strato und mit Suse 9.3 und ServerAdmin24 frisch aufgesetzt.

Im Maillog mail.err finden sich jede Menge Einträge wie:

X-Qmail-Scanner-1.24st SA 24: [hxxxxxxxxxxxxxxxxxx8] Requeuing: Maximum time exceeded. Something cannot handle this message.

top zeigt permanent 10-20 Prozesse von clamscan.
Versand geht gar nicht mehr. Mails werden nur sporadisch angenommen, eine von extern abgeschickte kommt zurück mit:

timed out while receiving initial server greeting

Irgendwann geht die CPU-Last auf 70% hoch, bis gar nichts mehr geht.

Maileingang waren normalerweise 1000 Stück (Spam) täglich. Dazu etliche Bounces, da auch reichlich Spam mit meinen Domains und Phantasie-Lokal-Part verschickt wird (Spamversand über den Server schließe ich zu 99% aus).

Dies alles seit einem Update letzte Woche, da die Neuinstallation wohl den Stand von vor 248 Tagen hatte.
Rigorose Umstellungen des Servers scheue ich noch, da ich noch nicht genug weiss, wie Serveradmin24 im System verzahnt ist.

Ich wäre dankbar für einen Lösungsansatz.
Grüße
Uwe

 

[taz]

Hallo,

ich schließe mich dieser Liste mal. ClamAV macht bei mir jedoch schon viel größere Probleme. Deshalb empfehle ich euch, das Ihr die Fakten vielleicht mal bei euch prüft.

Meine Softwarekonfiguration:
SuSE Linux 10.2 x64
Postfix
ClamAV 0.90.2
Procmail
Amavis

Bei mir sieht es wie folgt aus:
Die Performance beeinträchtigt mich nicht, obwohl ClamAV voll in der CPU hängt (jedoch nur in dem einen Kern - ist ein Intel Core 2). Damit wird mein System nicht gelehmt. Jedoch gibt es Mails (zum Beispiele eine Mail mit einem gezippten 1,7 MB großen MySQL-Dump) die der Virenscanner grundsätzlich nicht gescannt bekommt. Postfix ist dann so freundlich und killt den Scan-Prozess nach 40 Sekunden (PID Kill). Jedoch hat Amavis ja das Zip-File der Mail schon ausgepackt und in den Temp verfrachtet. Das wird dann leider nicht mehr gelöscht.

Ergebnis:
Die Mail wurde nicht gescannt, wird nicht verschickt und wird "deferred". Nach 15 Minuten versucht Postfix dann erneut, die Mail zuzustellen. Der selbe Prozess dann wieder, ClamAV kann nicht scannen, Daten werden wieder in den Temp geschrieben und ClamAV wird nach 40 Sekunden gekillt.

So bekomme ich derzeit schon in 8 Stunden 14 GB Tempdaten zusammen! (Freude für jeden Admin - jaaa!)

Ich denke, ich werde gleich mal ClamAV downgraden.

Bzw. weiß jemand, ob ClamAV 0.90.3 sauber läuft und wo ich eine SuSE RPM herbekomme?

MfG taz

 

[Huschi]

In der Regel ist der beste Bezugspunkt folgendes Verzeichnis:
ftp://ftp.suse.com/pub/projects/clamav/

Dummerweise ist SuSE aber mal wieder sch*** langsam mit dem Update.

huschi.

 

[Blackgentoo]

hm, ich hab auch ein massives performanceproblem mit diesem clamscan.. ich mag das eigentl komplett von meinem server schmeißen, aber ich verstehe nicht so recht wie ich das machen soll..

könnte mir das mal jemand erklären? Weil irgendwie ruft das dann ja mein mailprogramm bei jeder eingehenden email auf sodass diese gescannt wird, und das frisst dann wohl die massig cpu last.. je nachdem wieviel emails reinkommen stürzt mir dann auch ab und zu schonmal der komplette server einfach ab...

 

[Huschi]

Wenn Du uns mal ein paar Info's über Dein System zukommen lassen würdest, so daß wir nicht ganz im Dunkeln tappen...

huschi.

 

[Blackgentoo]

hab sons trato dedizierten server mit suse 9.3

 

[Huschi]

Ist ja schon mal ein Anfang.
Welcher MTA, welche ISP-Software, wie und wo ist ClamScan eingebunden?

PS: Du hast eine Private Nachricht!

huschi.

 

[Blackgentoo]

Ok, Entschuldigung ich werde mir Mühe geben Bins halt gewohnt nicht so drauf zu achten.

Also ich hab das Teil mit Serveradmin 24 am laufen, ich habe schon mal in der Konfiguration da geschaut, man kann eigentl das Kästchen virenscanner abschalten, aber wenn ich dann auf abspeichern klicke, macht der das nicht

ich habe qmail mit vpopmail oder welche Infos brauchst du jetzt noch?

 

[Blackgentoo]

ah sorry.. habe die Konfigurationsdatei mitlerweile doch selber gefunden und denke dass ich den Scanner nun abgeschaltet habe (im Top erscheint das Ding nicht mehr)

/var/qmail/bin/qmail-scanner-queue.pl war die datei die ich verändert hatte

 

[Frankylein]

Moin ... habe ebenfalls mit einem dedizierten Server (Suse 9.3) bei Strato genau die selben Probleme.

Was hast du in der Datei verändert????


Danke schon mal

 

[Blackgentoo]

also, in der Datei musst du mal schauen. Da gibt es irgendwo die scanner die das vpopmail benutzen soll. Bei diesem Eintrag musst du dann den clamscan entfernen, ist eigentl ziemlich selbsterklärend, ich denke du findest das dann auch selber heraus. Und du musst gut aufpassen, dass die Berechtigungen für die ganzen Dateien in diesem Ordner so bleiben wie sie sind
Ich hatte irgendwie am Anfang die Berechtigungen verändert, wodurch ich meinen kompletten Mailserver kurzzeitig komplett lahmgelegt habe.

 

[chewy]

Ich hab das gleiche Problem , auch auf ne Strato Maschine mit suse 9.3

hab per yast ein Update gemacht zur ClamAV 90.2.1 , danach gabs unendlich viele Prozesse von vpopmail ;

/usr/bin/clamscan -r -m --unzip --unrar --unzoo --lha --disable-summary --max-recursion=10 --max-space=100

nach 30 Minuten ging der Server in den Keller und nichts ging mehr.

Lösung für mich bis sich hier mal jemand defakto äußert und mal sagen kann was da los ist :

Downgrade auf die clamav 0.85.1 , alle Prozesse clamscan -r -m --unzip --unrar --unzoo --lha --disable-summary --max-recursion=10 --max-space=100

gekillt , Server reboot und schon wars wieder ok

aber das kanns ja nicht sein oder ? da muß doch mehr im argen liegen

 

[LucitheR]

Hallo, genau dasselbe Problem habe ich auch gehabt. nachdem eine PDF-mail nach einer Stunde nicht versandt wurde, wollte ich ClamAV deaktivieren. Auch bei mir half nur ein Downgrade, wie bereits beim Vorgaenger geschrieben. .