clamd stirbt reihenweise...

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
34 messages Options
12
Reply | Threaded
Open this post in threaded view
|

clamd stirbt reihenweise...

Peer Heinlein


Für die, die es interessiert:

Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
reißt.

Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
wollen.

Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
neu starten...

Lieben Gruß

Peer



--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin

Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Michael Wuttke
Hallo Peer,

Danke für den Hinweis.

Aber unter debian9 mit systemctl status clamav-daemon.service
clamav-freshclam.service sieht alles schick aus.

Die neuen Signaturen kommen alle Stunde ganz normal rein und der
clamav-daemon stirbt auch nicht.

Auch die clamav-unofficial-sigs scheinen regelmäßig aktualisiert zu werden.

Danke & Gruß,
Michael

Am 26.01.2018 um 12:07 schrieb Peer Heinlein:

>
>
> Für die, die es interessiert:
>
> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> reißt.
>
> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> wollen.
>
> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
> neu starten...
>
> Lieben Gruß
>
> Peer
>
>
>


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Martin Steigerwald
In reply to this post by Peer Heinlein
Hallo Peer.

Peer Heinlein - 26.01.18, 12:07:

> Für die, die es interessiert:
>
> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> reißt.
>
> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> wollen.
>
> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
> neu starten...

Hat das was mit

https://www.heise.de/security/meldung/Jetzt-patchen-Angriffe-auf-Viren-Scanner-ClamAV-3951801.html

zu tun?

Danke,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Hajo Locke
Hallo

Am 26.01.2018 um 12:38 schrieb Martin Steigerwald:

> Hallo Peer.
>
> Peer Heinlein - 26.01.18, 12:07:
>> Für die, die es interessiert:
>>
>> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
>> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
>> reißt.
>>
>> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
>> wollen.
>>
>> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
>> neu starten...
> Hat das was mit
>
> https://www.heise.de/security/meldung/Jetzt-patchen-Angriffe-auf-Viren-Scanner-ClamAV-3951801.html
>
> zu tun?
>
> Danke,
Wir sehen auch noch nichts, sind aber noch auf 0.99.2
Habt Ihr bereits geupdatet?

Hajo
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Wolfram Greinert
In reply to this post by Peer Heinlein
Hallo,


On Fri, Jan 26, 2018 at 12:07:07PM +0100, Peer Heinlein wrote:
>
>
> Für die, die es interessiert:
>
> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> reißt.

bei uns sterben die clamd's seit heute Nacht ca. 3:00 Uhr auch immer wieder.
Auch ein update auf 0.99.3 hat daran nichts geändert :-( Im logfile findet
man jede Menge Einträge "clamd[4232]: accept() failed".

>
> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> wollen.
>
> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
> neu starten...

also freshclam nicht als daemon laufen lassen und nach manuellen freshclam den
clamd neu starten, oder was meinst Du genau ???

Viele Grüße

  Wolfram

>
> Lieben Gruß
>
> Peer
>
>
>
> --
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
>

--
###########################################
#  Wolfram Greinert                       #
#  URZ der Uni Leipzig                    #
#  Abt. Infrastruktur                     #
#  04109  Leipzig, Augustusplatz 10       #
#                  Raum A 208             #
#  Tel.:  +49 341 97 33325                #
#  email: [hidden email]      #
###########################################
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Markus Heinze
In reply to this post by Peer Heinlein
Moin moin,

Am 2018-01-26 12:07, schrieb Peer Heinlein:

> Für die, die es interessiert:
>
> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> reißt.
>
> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> wollen.
>
> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
> neu starten...
>

kann ich nicht bestätigen, hier mit Tumbleweed + 0.99.2 alles gut auch
mit extra SIG's

> Lieben Gruß
>
> Peer

mfg
M.Heinze
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Martin Steigerwald
In reply to this post by Wolfram Greinert
Wolfram Greinert - 26.01.18, 13:04:
> > Für die, die es interessiert:
> >
> > Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> > nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> > reißt.
>
> bei uns sterben die clamd's seit heute Nacht ca. 3:00 Uhr auch immer wieder.
> Auch ein update auf 0.99.3 hat daran nichts geändert  Im logfile findet
> man jede Menge Einträge "clamd[4232]: accept() failed".

Zu viele Verbindungen?

Ich hab auf meinem kleinen privaten Mail-Setup keinen ClamAV… daher kann ich
dazu auch nichts weiter beobachten.

--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Ralf Steuer
In reply to this post by Wolfram Greinert
Hallo,

On 01/26/2018 01:04 PM, Wolfram Greinert wrote:

> Hallo,
>
>
> On Fri, Jan 26, 2018 at 12:07:07PM +0100, Peer Heinlein wrote:
>>
>> Für die, die es interessiert:
>>
>> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
>> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
>> reißt.
> bei uns sterben die clamd's seit heute Nacht ca. 3:00 Uhr auch immer wieder.
> Auch ein update auf 0.99.3 hat daran nichts geändert :-( Im logfile findet
> man jede Menge Einträge "clamd[4232]: accept() failed".
Bei uns selbiges seit ca. 3 Uhr in der Nacht, gleiche Fehlermeldungen
und Update auf 0.99.3 hat am Problem prinzipiell auch nichts geändert,
wobei es mir aber  vorkommt, als würde es seitdem seltener auftreten.

>
>> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
>> wollen.
>>
>> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
>> neu starten...
> also freshclam nicht als daemon laufen lassen und nach manuellen freshclam den
> clamd neu starten, oder was meinst Du genau ???
>
> Viele Grüße
>
>   Wolfram
Liebe Grüße,
Ralf

--
Ralf Steuer
IT-SERVICES
Systemmanager Server Infrastructure

WU
Wirtschaftsuniversität Wien
Vienna University of Economics and Business
Welthandelsplatz 1, Building LC, 1020 Vienna, Austria

Tel: +43-1-31336-5212
Fax: +43-1-31336-702
E-Mail: [hidden email]
www.wu.ac.at

Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Marcus Schopen
In reply to this post by Peer Heinlein
Hallo Peer,

Am Freitag, den 26.01.2018, 12:07 +0100 schrieb Peer Heinlein:

>
> Für die, die es interessiert:
>
> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd
> reihenweise
> nach dem Update neuer signaturen stirbt und die Mailgates ins
> Verderben
> reißt.
>
> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> wollen.

Das Wegsterben kann ich bestätigen, heute Morgen um 7:47 hat es
angefangen und dann in unregelmäßigen Abständen. Setup hier ist clamav
via mimedefang eingebunden:

------
/var/spool/MIMEDefang/mdefang-w0Q6lcso011112/Work/msg-15708-274.pdf:
Can't create new file ERROR
------

Leider kann ich es nicht selbst replizieren und die Mails, die das
auslösen, kommen z.T. von eigenen Usern und enthalten keine
"fragwürdigen" PDFs.

Auf der clamav Mailinglist hat Dianne Skoll (Mimedefang) einen Thread
mit "URGENT: Clamd is wedged on multiple installations" angezettelt.

> Workaround: freshclam manuell ausführen und ggf. gleich per Hand
> wieder
> neu starten...

Was meinst Du genau mit "manuell" ausführen. Den freshclam daemon
beenden? Und was genau "per Hand" wieder neu starten?

Viele Grüße
Marcus

Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Marcus Schopen
In reply to this post by Ralf Steuer
Am Freitag, den 26.01.2018, 14:28 +0100 schrieb Ralf Steuer:

> Hallo,
>
> On 01/26/2018 01:04 PM, Wolfram Greinert wrote:
>
> > Hallo,
> >
> >
> > On Fri, Jan 26, 2018 at 12:07:07PM +0100, Peer Heinlein wrote:
> > >
> > > Für die, die es interessiert:
> > >
> > > Wir sehen gerade, daß bei uns und Kundenmachinen der clamd
> > > reihenweise
> > > nach dem Update neuer signaturen stirbt und die Mailgates ins
> > > Verderben
> > > reißt.
> >
> > bei uns sterben die clamd's seit heute Nacht ca. 3:00 Uhr auch
> > immer wieder.
> > Auch ein update auf 0.99.3 hat daran nichts geändert :-( Im logfile
> > findet
> > man jede Menge Einträge "clamd[4232]: accept() failed".
>
> Bei uns selbiges seit ca. 3 Uhr in der Nacht, gleiche Fehlermeldungen
> und Update auf 0.99.3 hat am Problem prinzipiell auch nichts
> geändert,
> wobei es mir aber  vorkommt, als würde es seitdem seltener auftreten.
> >
> > > Wer Streß hat oder Streß vermeiden sollte könnte das ja
> > > kontrollieren
> > > wollen.
> > >
> > > Workaround: freshclam manuell ausführen und ggf. gleich per Hand
> > > wieder
> > > neu starten...
> >
> > also freshclam nicht als daemon laufen lassen und nach manuellen
> > freshclam den
> > clamd neu starten, oder was meinst Du genau ???
> >
> > Viele Grüße
> >
> >   Wolfram

Das scheint ein Problem mit der aktuellen 24257 Signatur zu sein, bzw.
unter der Version 24256 von heute Nacht tritt das Problem hier erstmals
auf.

Weiß jemand wie man zu Version 24255 "zurückrollen" kann? Version 24255
wurde bei mir gestern gg. 18:28 eingespielt und damit traten keine
Probleme auf.

Ciao!

Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Wolfram Greinert
In reply to this post by Ralf Steuer
Hallo,

die Anzahl der Verbindungen ist es nicht, es scheint an der Anzahl geöffneter
files zu liegen. Mit "ls -1 /proc/$(pidof clamd)/fd | wc -l" sieht man, dass
diese ständig steigt. Hatte die max. Anzahl auf 10240 gesetzt, erreicht clamd
diese Anzahl kommen Meldungen wie:

ScanStream 1321: accept() failed.

/var/amavis/amavis-20180126T144833-45621/parts/p004: Can't open file or directory ERROR

und der clamd verabschiedet sich. Seit Jahren habe ich das limit nicht
verändert und der clamd lief mit 1024/8192 ohne Probleme ......

Kann dies wirklich an irgendwelchen Signaturen liegen ????

Viele Grüße

  Wolfram

On Fri, Jan 26, 2018 at 02:28:27PM +0100, Ralf Steuer wrote:

> Hallo,
>
> On 01/26/2018 01:04 PM, Wolfram Greinert wrote:
>
> > Hallo,
> >
> >
> > On Fri, Jan 26, 2018 at 12:07:07PM +0100, Peer Heinlein wrote:
> >>
> >> Für die, die es interessiert:
> >>
> >> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> >> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> >> reißt.
> > bei uns sterben die clamd's seit heute Nacht ca. 3:00 Uhr auch immer wieder.
> > Auch ein update auf 0.99.3 hat daran nichts geändert :-( Im logfile findet
> > man jede Menge Einträge "clamd[4232]: accept() failed".
> Bei uns selbiges seit ca. 3 Uhr in der Nacht, gleiche Fehlermeldungen
> und Update auf 0.99.3 hat am Problem prinzipiell auch nichts geändert,
> wobei es mir aber  vorkommt, als würde es seitdem seltener auftreten.
> >
> >> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> >> wollen.
> >>
> >> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
> >> neu starten...
> > also freshclam nicht als daemon laufen lassen und nach manuellen freshclam den
> > clamd neu starten, oder was meinst Du genau ???
> >
> > Viele Grüße
> >
> >   Wolfram
> Liebe Grüße,
> Ralf
>
> --
> Ralf Steuer
> IT-SERVICES
> Systemmanager Server Infrastructure
>
> WU
> Wirtschaftsuniversität Wien
> Vienna University of Economics and Business
> Welthandelsplatz 1, Building LC, 1020 Vienna, Austria
>
> Tel: +43-1-31336-5212
> Fax: +43-1-31336-702
> E-Mail: [hidden email]
> www.wu.ac.at
>

--
###########################################
#  Wolfram Greinert                       #
#  URZ der Uni Leipzig                    #
#  Abt. Infrastruktur                     #
#  04109  Leipzig, Augustusplatz 10       #
#                  Raum A 208             #
#  Tel.:  +49 341 97 33325                #
#  email: [hidden email]      #
###########################################
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Ralf Hildebrandt
In reply to this post by Wolfram Greinert
* Wolfram Greinert <[hidden email]>:

> Hallo,
>
>
> On Fri, Jan 26, 2018 at 12:07:07PM +0100, Peer Heinlein wrote:
> >
> >
> > Für die, die es interessiert:
> >
> > Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> > nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> > reißt.
>
> bei uns sterben die clamd's seit heute Nacht ca. 3:00 Uhr auch immer wieder.
> Auch ein update auf 0.99.3 hat daran nichts geändert :-( Im logfile findet
> man jede Menge Einträge "clamd[4232]: accept() failed".
Du musst ein Update der daily.* erzwingen (freshclam restart). Upgrade
auf 0.99.3 und signatureupdate hat bei mir geholfen.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           

signature.asc (201 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Winfried Neessen
In reply to this post by Marcus Schopen
Hi!

Am 26.01.2018 um 08:08 schrieb Marcus Schopen <[hidden email]>:

Das scheint ein Problem mit der aktuellen 24257 Signatur zu sein, bzw.
unter der Version 24256 von heute Nacht tritt das Problem hier erstmals
auf. 

Kann ich nicht bestaetigen.
Hier:
daily.cld is up to date (version: 24257, sigs: 1835982, f-level: 63, builder: neo)
und keine Probleme.


Winni

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Ralf Steuer
In reply to this post by Marcus Schopen
Hi,

anscheinend ist es mit dem hier enthaltenen Patch gefixt:
http://lists.clamav.net/pipermail/clamav-users/2018-January/005687.html
Bisher ist es bei uns zumindest nicht nochmal aufgetreteten. Stehen auch
bei Signatur Version: 24257

Liebe Grüße,
Ralf


On 01/26/2018 03:08 PM, Marcus Schopen wrote:

> Am Freitag, den 26.01.2018, 14:28 +0100 schrieb Ralf Steuer:
>> Hallo,
>>
>> On 01/26/2018 01:04 PM, Wolfram Greinert wrote:
>>
>>> Hallo,
>>>
>>>
>>> On Fri, Jan 26, 2018 at 12:07:07PM +0100, Peer Heinlein wrote:
>>>> Für die, die es interessiert:
>>>>
>>>> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd
>>>> reihenweise
>>>> nach dem Update neuer signaturen stirbt und die Mailgates ins
>>>> Verderben
>>>> reißt.
>>> bei uns sterben die clamd's seit heute Nacht ca. 3:00 Uhr auch
>>> immer wieder.
>>> Auch ein update auf 0.99.3 hat daran nichts geändert :-( Im logfile
>>> findet
>>> man jede Menge Einträge "clamd[4232]: accept() failed".
>> Bei uns selbiges seit ca. 3 Uhr in der Nacht, gleiche Fehlermeldungen
>> und Update auf 0.99.3 hat am Problem prinzipiell auch nichts
>> geändert,
>> wobei es mir aber  vorkommt, als würde es seitdem seltener auftreten.
>>>> Wer Streß hat oder Streß vermeiden sollte könnte das ja
>>>> kontrollieren
>>>> wollen.
>>>>
>>>> Workaround: freshclam manuell ausführen und ggf. gleich per Hand
>>>> wieder
>>>> neu starten...
>>> also freshclam nicht als daemon laufen lassen und nach manuellen
>>> freshclam den
>>> clamd neu starten, oder was meinst Du genau ???
>>>
>>> Viele Grüße
>>>
>>>   Wolfram
> Das scheint ein Problem mit der aktuellen 24257 Signatur zu sein, bzw.
> unter der Version 24256 von heute Nacht tritt das Problem hier erstmals
> auf.
>
> Weiß jemand wie man zu Version 24255 "zurückrollen" kann? Version 24255
> wurde bei mir gestern gg. 18:28 eingespielt und damit traten keine
> Probleme auf.
>
> Ciao!
>

--
Ralf Steuer
IT-SERVICES
Systemmanager Server Infrastructure

WU
Wirtschaftsuniversität Wien
Vienna University of Economics and Business
Welthandelsplatz 1, Building LC, 1020 Vienna, Austria

Tel: +43-1-31336-5212
Fax: +43-1-31336-702
E-Mail: [hidden email]
www.wu.ac.at

Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Michael Ströhle
In reply to this post by Martin Steigerwald
Martin Steigerwald wrote on 26.01.2018 12:38:19:

> Hallo Peer.
>
> Peer Heinlein - 26.01.18, 12:07:
> > Für die, die es interessiert:
> >
> > Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> > nach dem Update neuer signaturen stirbt und die Mailgates ins
Verderben
> > reißt.
> >
> > Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> > wollen.
> >
> > Workaround: freshclam manuell ausführen und ggf. gleich per Hand
wieder
> > neu starten...
>
> Hat das was mit
>
> https://www.heise.de/security/meldung/Jetzt-patchen-Angriffe-auf-
> Viren-Scanner-ClamAV-3951801.html

Dürfte in *keinem* Zusammenhang mit dem aktuellen Bug (file descriptor
leak)
stehen, wenn man sich das hier durchliest:
http://blog.clamav.net/2018/01/clamav-0993-has-been-released.html

Für den Bug im cli_scanscript gibts offenbar bereits einen Fix:
http://lists.clamav.net/pipermail/clamav-users/2018-January/005691.html

Als kurzfristiger "Workaround" haben wir ClamAV (0.99.0) via amavisd.conf
kurzerhand
"bypassed" (4 weitere Scanner in der Kette).

Hoffe es folgt zeitnah eine gefixte 0.99.3 (incl. der CVE´s) bzw. 0.100.0:
http://blog.clamav.net/2018/01/clamav-version-number-adjustment.html

Grüße
Michael


Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Marcus Schopen
In reply to this post by Ralf Steuer
Hei,

Am Freitag, den 26.01.2018, 15:17 +0100 schrieb Ralf Steuer:
> Hi,
>
> anscheinend ist es mit dem hier enthaltenen Patch gefixt:
> http://lists.clamav.net/pipermail/clamav-users/2018-January/005687.ht
> ml
> Bisher ist es bei uns zumindest nicht nochmal aufgetreteten. Stehen
> auch
> bei Signatur Version: 24257

Hmmm, solange es keine Paket Updates gibt, nützt zumindest mir das
wenig, es sei denn man will selber bauen.

Kann man nicht einfach die aktuelle daily.cld (24257) durch die
daily.cld z.B. in der Version 24255 ersetzen? Oder führt so ein
"downgrade" der Signaturen zu Problemen?

Ciao!


Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Ralf Hildebrandt
In reply to this post by Marcus Schopen
* Marcus Schopen <[hidden email]>:

> /var/spool/MIMEDefang/mdefang-w0Q6lcso011112/Work/msg-15708-274.pdf:
> Can't create new file ERROR

Ist ein filedescriptor leak, wenn man nur kurz testet, merkt man das
nicht.
Man muss knapp über 1000 Files scannen, dann geht's krachen.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           

signature.asc (201 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Marcus Schopen
In reply to this post by Winfried Neessen
Am Freitag, den 26.01.2018, 08:14 -0600 schrieb Winfried Neessen:

> Hi!
>
> Am 26.01.2018 um 08:08 schrieb Marcus Schopen <[hidden email]>:
>
> > Das scheint ein Problem mit der aktuellen 24257 Signatur zu sein,
> > bzw.
> > unter der Version 24256 von heute Nacht tritt das Problem hier
> > erstmals
> > auf.
>
> Kann ich nicht bestaetigen.
> Hier:
> daily.cld is up to date (version: 24257, sigs: 1835982, f-level: 63,
> builder: neo)
> und keine Probleme.

Wahrscheinlich kommt es auch darauf an, wie viel Last auf dem Server
ist. Auf meiner kleinen privaten Maschine, die nur eine handvoll Mails
abwickelt, ist der clamav bisher auch noch nicht abgeschmiert. Auf
einem anderen Server, der deutlich aktiver ist, tritt das Problem
wiederholt auf.

Ciao!

Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Matthias Egger-2
In reply to this post by Peer Heinlein
Hallo Liste,

On 01/26/2018 12:07 PM, Peer Heinlein wrote:
> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> reißt.

Es sprechen ja alle von der daily.cld. Aber bei uns fingen die Probleme
etwa 10min nachdem safebrowsing.cld aktualisiert wurde an (siehe unten).
Könnten mal diejenigen welche KEINE Probleme haben schauen ob sie
Safebrowsing akiviert haben (default ist deaktiviert)?:


Hier noch keine Probleme
Jan 26 06:54:47 HOST01 freshclam[524]: main.cld is up to date (version:
58, sigs: 4566249, f-level: 60, builder: sigmgr)
Jan 26 06:54:47 HOST01 freshclam[524]: daily.cld is up to date (version:
24256, sigs: 1835772, f-level: 63, builder: neo)
Jan 26 06:54:47 HOST01 freshclam[524]: safebrowsing.cld is up to date
(version: 46943, sigs: 3094076, f-level: 63, builder: google)
Jan 26 06:54:47 HOST01 freshclam[524]: bytecode.cld is up to date
(version: 319, sigs: 75, f-level: 63, builder: neo)

1h später wird safebrowsing heruntergeladen
Jan 26 07:54:47 HOST01 freshclam[524]: DON'T PANIC! Read
http://www.clamav.net/documents/upgrading-clamav
Jan 26 07:54:47 HOST01 freshclam[524]: main.cld is up to date (version:
58, sigs: 4566249, f-level: 60, builder: sigmgr)
Jan 26 07:54:47 HOST01 freshclam[524]: daily.cld is up to date (version:
24256, sigs: 1835772, f-level: 63, builder: neo)
Jan 26 07:54:48 HOST01 freshclam[524]: Downloading
safebrowsing-46944.cdiff [100%]
Jan 26 07:54:53 HOST01 freshclam[524]: safebrowsing.cld updated
(version: 46944, sigs: 3093333, f-level: 63, builder: google)
Jan 26 07:54:53 HOST01 freshclam[524]: bytecode.cld is up to date
(version: 319, sigs: 75, f-level: 63, builder: neo)

Und 10min später geht es dann los
Jan 26 07:58:21 virgo01 clamd[600]: SelfCheck: Database modification
detected. Forcing reload.
Jan 26 07:58:22 virgo01 clamd[600]: Reading databases from /var/lib/clamav
Jan 26 07:58:33 virgo01 clamd[600]: Database correctly reloaded (9489377
signatures)
Jan 26 08:07:03 virgo01 clamd[600]:
/var/lib/amavis/tmp/amavis-20180126T074348-12835-VP4rTSqe/parts/p002:
Can't open file or directory ERROR
Jan 26 08:07:38 virgo01 clamd[600]:
/var/lib/amavis/tmp/amavis-20180126T080607-17880-HXT57mx9/parts/p001:
Can't open file or directory ERROR
Jan 26 08:07:41 virgo01 clamd[600]:
/var/lib/amavis/tmp/amavis-20180126T062308-31744-HSkHgjSM/parts/p001:
Can't open file or directory ERROR
Jan 26 08:08:14 virgo01 clamd[600]: LibClamAV Error: cli_gentempfd:
Can't create temporary file
/var/lib/amavis/tmp/clamav-21c7af528b5b7c434092bc9d509fdc25.tmp: Too
many open files

Lieber Gruss
Matthias

--
Matthias Egger
ETH Zurich
Department of Information Technology          [hidden email]
and Electrical Engineering
IT Support Group (ISG.EE), ETF/D/102          Phone +41 (0)44 632 03 90
Sternwartstrasse 7, CH-8092 Zurich            Fax   +41 (0)44 632 11 95


smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: clamd stirbt reihenweise...

Ralf Hildebrandt
In reply to this post by Marcus Schopen
* Marcus Schopen <[hidden email]>:

> Kann man nicht einfach die aktuelle daily.cld (24257) durch die
> daily.cld z.B. in der Version 24255 ersetzen? Oder führt so ein
> "downgrade" der Signaturen zu Problemen?

Das geht, so hatte ich mir zuerst beholfen

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           

signature.asc (201 bytes) Download Attachment
12