Официальная возможность получить лицензионный софт бесплатно.
Giveaway of the Day
Это не реклама!

Щелкните для получения прогноза по Биробиджану


понедельник, 24 октября 2016 г.

ClamAV в старой Zimbra сошёл с ума

Прихожу сегодня на работу и вижу во входящей админской почте кучу сообщений о том, что почтовое сообщение такое-то доставлено без проверки - Unchecked.

В огромного размера логе clamd обнаруживаю огромное количество записей типа:

WARNING: [LibClamAV] mpool_malloc(): Attempt to allocate 8388608 bytes. Please report to http://bugs.clamav.net

В некотором недоумении пытаюсь перезапустить зимбру, но обнаруживаю, что процесс clamd не реагирует на штатный kill -15 (sigterm), и снимается только по kill -9 (sigkill). Похожие записи вижу и в логе freshclam, из чего делаю вывод, что что-то не так с антивирусными базами.
Прибиваю все зимбровские процессы, переименовываю существующие базы (например mv daily.cvd -daily.cvd), вручную запускаю зимбровский freshclam. Он отрабатывает нормально, md5 свежескачанных баз совпадает с md5 старых баз. Значит базы не повреждены.
На всякий случай - всё-таки ошибка выделения памяти - проверяю логи гипервизора, на котором крутится зимбра. Там всё в порядке.
As a very last resort вбиваю текст сообщения об ошибке в гугл, и одной из первых ссылок вижу такую страницу: ClamAV DB Update leads to **UNCHECKED** in all messages (оно же в Zimbra KB) с датой изменения 24 октября 2016, то есть сегодня. Выяснилось, что проблема глобальная и Clam-ы версий 097 более не поддерживаются (причем давно) и не умеют работать с новыми базами.

Решение - в следующей по порядку статье ZimbraKB "ClamAV - Updating clamd for releases earlier than ZCS 8.0.6":

1. остановить всё зимбровское
2. скачать (по ссылкам в KB) новый ClamAV подходящей версии
3. распаковать его (под root-ом) в каталог зимбры
4. удалить старую ссылку clamav и создать ее заново, чтобы она указывала на новый каталог
5. убедиться, что ссылка указывает на каталог с новым ClamAV
6. запустить зимбру и порадоваться за нормальную работу антивируса

14 комментариев:

  1. Обновил версию clamav до 0.98.4 -> не помогло(((

    ОтветитьУдалить
    Ответы
    1. Ну, не знаю даже. Софтлинк точно пересоздал? Я делал строго по инструкции в КБ и всё получилось.

      Удалить
    2. присоединяюсь. не помогло

      Удалить
    3. Версии и логи - в студию!

      Удалить
    4. Release 8.0.2. Какие логи интересуют? В логах фрешклама есть обновление версии, зафиксировано. Но лог кламав чист как душа младенца.

      Удалить
    5. Хм... а убунта какая? Может стоит зимбру хотя бы до 8.0.6 обновить?

      Удалить
    6. Может насчет убунты я и ошибся, но всё же?

      Удалить
  2. Та же проблема, вылезла. Решения пока не найдено.

    ОтветитьУдалить
    Ответы
    1. А запускается точно новый антивирус?

      Удалить
  3. Вот кусок моего лога - первый запуск после установки нового клама:

    Mon Oct 24 09:57:35 2016 -> +++ Started at Mon Oct 24 09:57:35 2016
    Mon Oct 24 09:57:35 2016 -> clamd daemon 0.98.4 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
    Mon Oct 24 09:57:35 2016 -> Log file size limited to 20971520 bytes.
    Mon Oct 24 09:57:35 2016 -> Reading databases from /opt/zimbra/data/clamav/db
    Mon Oct 24 09:57:35 2016 -> Not loading PUA signatures.
    Mon Oct 24 09:57:35 2016 -> Bytecode: Security mode set to "TrustSigned".
    Mon Oct 24 09:57:51 2016 -> Loaded 4978789 signatures.
    ...
    Mon Oct 24 09:57:53 2016 -> Self checking every 600 seconds.
    Mon Oct 24 10:08:12 2016 -> No stats for Database check - forcing reload
    Mon Oct 24 10:08:13 2016 -> Reading databases from /opt/zimbra/data/clamav/db
    Mon Oct 24 10:08:30 2016 -> Database correctly reloaded (4978789 signatures)

    ОтветитьУдалить
  4. Последняя перезагрузка баз спустя 12 часов:

    Mon Oct 24 21:58:41 2016 -> Reading databases from /opt/zimbra/data/clamav/db
    Mon Oct 24 21:58:58 2016 -> Database correctly reloaded (4987797 signatures)
    Mon Oct 24 22:13:49 2016 -> SelfCheck: Database status OK.

    ОтветитьУдалить
  5. Вот первый запуск фрешклама, вручную для проверки, еще до запуска самой зимбры:

    freshclam daemon 0.98.4 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
    ClamAV update process started at Mon Oct 24 09:57:55 2016
    WARNING: Your ClamAV installation is OUTDATED!
    WARNING: Local version: 0.98.4 Recommended version: 0.99.2
    DON'T PANIC! Read http://www.clamav.net/support/faq
    Connecting via proxy...ru
    main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
    Connecting via proxy...ru
    daily.cvd is up to date (version: 22419, sigs: 765391, f-level: 63, builder: neo)
    Connecting via proxy...ru
    bytecode.cvd is up to date (version: 283, sigs: 53, f-level: 63, builder: neo)

    ОтветитьУдалить
  6. Вот последний на сейчас, следующий примерно через 13 минут будет:

    Received signal: wake up
    ClamAV update process started at Mon Oct 24 21:58:32 2016
    WARNING: Your ClamAV installation is OUTDATED!
    WARNING: Local version: 0.98.4 Recommended version: 0.99.2
    DON'T PANIC! Read http://www.clamav.net/support/faq
    Connecting via proxy...ru
    main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
    Connecting via proxy...ru
    Downloading daily-22422.cdiff [100%]
    daily.cld updated (version: 22422, sigs: 774399, f-level: 63, builder: neo)
    Connecting via proxy...ru
    bytecode.cvd is up to date (version: 283, sigs: 53, f-level: 63, builder: neo)
    Database updated (4993242 signatures) from db.local.clamav.net
    Clamd successfully notified about the update.

    ОтветитьУдалить
  7. Версия ZCS:

    /opt/zimbra/bin/zmcontrol -v
    Release 8.0.6.GA.5922.UBUNTU12.64 UBUNTU12_64 FOSS edition

    ОтветитьУдалить

Пожалуйста, воздержитесь от грубостей и персональных нападок.
Я не против матерщины, но она должна быть уместной и использоваться для выражения эмоций, а не в качестве основного средства выражения мыслей.