Прихожу сегодня на работу и вижу во входящей админской почте кучу сообщений о том, что почтовое сообщение такое-то доставлено без проверки - Unchecked.
В огромного размера логе clamd обнаруживаю огромное количество записей типа:
WARNING: [LibClamAV] mpool_malloc(): Attempt to allocate 8388608 bytes. Please report to http://bugs.clamav.net
В некотором недоумении пытаюсь перезапустить зимбру, но обнаруживаю, что процесс clamd не реагирует на штатный kill -15 (sigterm), и снимается только по kill -9 (sigkill). Похожие записи вижу и в логе freshclam, из чего делаю вывод, что что-то не так с антивирусными базами.
Прибиваю все зимбровские процессы, переименовываю существующие базы (например mv daily.cvd -daily.cvd), вручную запускаю зимбровский freshclam. Он отрабатывает нормально, md5 свежескачанных баз совпадает с md5 старых баз. Значит базы не повреждены.
На всякий случай - всё-таки ошибка выделения памяти - проверяю логи гипервизора, на котором крутится зимбра. Там всё в порядке.
As a very last resort вбиваю текст сообщения об ошибке в гугл, и одной из первых ссылок вижу такую страницу: ClamAV DB Update leads to **UNCHECKED** in all messages (оно же в Zimbra KB) с датой изменения 24 октября 2016, то есть сегодня. Выяснилось, что проблема глобальная и Clam-ы версий 097 более не поддерживаются (причем давно) и не умеют работать с новыми базами.
Решение - в следующей по порядку статье ZimbraKB "ClamAV - Updating clamd for releases earlier than ZCS 8.0.6":
1. остановить всё зимбровское
2. скачать (по ссылкам в KB) новый ClamAV подходящей версии
3. распаковать его (под root-ом) в каталог зимбры
4. удалить старую ссылку clamav и создать ее заново, чтобы она указывала на новый каталог
5. убедиться, что ссылка указывает на каталог с новым ClamAV
6. запустить зимбру и порадоваться за нормальную работу антивируса
В огромного размера логе clamd обнаруживаю огромное количество записей типа:
WARNING: [LibClamAV] mpool_malloc(): Attempt to allocate 8388608 bytes. Please report to http://bugs.clamav.net
В некотором недоумении пытаюсь перезапустить зимбру, но обнаруживаю, что процесс clamd не реагирует на штатный kill -15 (sigterm), и снимается только по kill -9 (sigkill). Похожие записи вижу и в логе freshclam, из чего делаю вывод, что что-то не так с антивирусными базами.
Прибиваю все зимбровские процессы, переименовываю существующие базы (например mv daily.cvd -daily.cvd), вручную запускаю зимбровский freshclam. Он отрабатывает нормально, md5 свежескачанных баз совпадает с md5 старых баз. Значит базы не повреждены.
На всякий случай - всё-таки ошибка выделения памяти - проверяю логи гипервизора, на котором крутится зимбра. Там всё в порядке.
As a very last resort вбиваю текст сообщения об ошибке в гугл, и одной из первых ссылок вижу такую страницу: ClamAV DB Update leads to **UNCHECKED** in all messages (оно же в Zimbra KB) с датой изменения 24 октября 2016, то есть сегодня. Выяснилось, что проблема глобальная и Clam-ы версий 097 более не поддерживаются (причем давно) и не умеют работать с новыми базами.
Решение - в следующей по порядку статье ZimbraKB "ClamAV - Updating clamd for releases earlier than ZCS 8.0.6":
1. остановить всё зимбровское
2. скачать (по ссылкам в KB) новый ClamAV подходящей версии
3. распаковать его (под root-ом) в каталог зимбры
4. удалить старую ссылку clamav и создать ее заново, чтобы она указывала на новый каталог
5. убедиться, что ссылка указывает на каталог с новым ClamAV
6. запустить зимбру и порадоваться за нормальную работу антивируса
Обновил версию clamav до 0.98.4 -> не помогло(((
ОтветитьУдалитьНу, не знаю даже. Софтлинк точно пересоздал? Я делал строго по инструкции в КБ и всё получилось.
Удалитьприсоединяюсь. не помогло
УдалитьВерсии и логи - в студию!
УдалитьRelease 8.0.2. Какие логи интересуют? В логах фрешклама есть обновление версии, зафиксировано. Но лог кламав чист как душа младенца.
УдалитьХм... а убунта какая? Может стоит зимбру хотя бы до 8.0.6 обновить?
УдалитьМожет насчет убунты я и ошибся, но всё же?
УдалитьТа же проблема, вылезла. Решения пока не найдено.
ОтветитьУдалитьА запускается точно новый антивирус?
УдалитьВот кусок моего лога - первый запуск после установки нового клама:
ОтветитьУдалитьMon Oct 24 09:57:35 2016 -> +++ Started at Mon Oct 24 09:57:35 2016
Mon Oct 24 09:57:35 2016 -> clamd daemon 0.98.4 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
Mon Oct 24 09:57:35 2016 -> Log file size limited to 20971520 bytes.
Mon Oct 24 09:57:35 2016 -> Reading databases from /opt/zimbra/data/clamav/db
Mon Oct 24 09:57:35 2016 -> Not loading PUA signatures.
Mon Oct 24 09:57:35 2016 -> Bytecode: Security mode set to "TrustSigned".
Mon Oct 24 09:57:51 2016 -> Loaded 4978789 signatures.
...
Mon Oct 24 09:57:53 2016 -> Self checking every 600 seconds.
Mon Oct 24 10:08:12 2016 -> No stats for Database check - forcing reload
Mon Oct 24 10:08:13 2016 -> Reading databases from /opt/zimbra/data/clamav/db
Mon Oct 24 10:08:30 2016 -> Database correctly reloaded (4978789 signatures)
Последняя перезагрузка баз спустя 12 часов:
ОтветитьУдалитьMon Oct 24 21:58:41 2016 -> Reading databases from /opt/zimbra/data/clamav/db
Mon Oct 24 21:58:58 2016 -> Database correctly reloaded (4987797 signatures)
Mon Oct 24 22:13:49 2016 -> SelfCheck: Database status OK.
Вот первый запуск фрешклама, вручную для проверки, еще до запуска самой зимбры:
ОтветитьУдалитьfreshclam daemon 0.98.4 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)
ClamAV update process started at Mon Oct 24 09:57:55 2016
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.98.4 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
Connecting via proxy...ru
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Connecting via proxy...ru
daily.cvd is up to date (version: 22419, sigs: 765391, f-level: 63, builder: neo)
Connecting via proxy...ru
bytecode.cvd is up to date (version: 283, sigs: 53, f-level: 63, builder: neo)
Вот последний на сейчас, следующий примерно через 13 минут будет:
ОтветитьУдалитьReceived signal: wake up
ClamAV update process started at Mon Oct 24 21:58:32 2016
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.98.4 Recommended version: 0.99.2
DON'T PANIC! Read http://www.clamav.net/support/faq
Connecting via proxy...ru
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
Connecting via proxy...ru
Downloading daily-22422.cdiff [100%]
daily.cld updated (version: 22422, sigs: 774399, f-level: 63, builder: neo)
Connecting via proxy...ru
bytecode.cvd is up to date (version: 283, sigs: 53, f-level: 63, builder: neo)
Database updated (4993242 signatures) from db.local.clamav.net
Clamd successfully notified about the update.
Версия ZCS:
ОтветитьУдалить/opt/zimbra/bin/zmcontrol -v
Release 8.0.6.GA.5922.UBUNTU12.64 UBUNTU12_64 FOSS edition