The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ClamAv+Postfix - проверка многотомных RAR-архивов"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от umka19 emailИскать по авторуВ закладки(ok) on 30-Ноя-05, 10:47  (MSK)
Добрый день всем.
На моей системе (FreeBSD 4.9) стоит связка Postfix 2.2 + ClamAv 0.87 + ClamSMTP 1.4. Собственно ClamAv 0.87 я с месяц назад установил из портов, польстившись на поддержку RAR3, До этого стоял собранный руками ClamAv 0.86_2.
Сегодня обнаружил, что сервер висит :( Разбирательство показало следующее: юзер отправил по почте многотомный RAR-архив, после чего кламав вырубился.

Вот логи:

clamd.log:

Wed Nov 30 10:33:05 2005 -> +++ Started at Wed Nov 30 09:09:05 2005
Wed Nov 30 10:33:05 2005 -> clamd daemon 0.87 (OS: freebsd4.9, ARCH: i386, CPU: i386)
Wed Nov 30 10:33:05 2005 -> Log file size limited to 1048576 bytes.
Wed Nov 30 10:33:05 2005 -> Verbose logging activated.
Wed Nov 30 10:33:05 2005 -> Running as user clamav (UID 1025, GID 1025)
Wed Nov 30 10:33:05 2005 -> Reading databases from /var/db/clamav
Wed Nov 30 10:33:05 2005 -> Protecting against 41292 viruses.
Wed Nov 30 10:33:05 2005 -> Unix socket file /var/run/clamav/clamd
Wed Nov 30 10:33:05 2005 -> Setting connection queue length to 15
Wed Nov 30 10:33:05 2005 -> Listening daemon: PID: 113
Wed Nov 30 10:33:05 2005 -> Archive: Archived file size limit set to 10485760 bytes.
Wed Nov 30 10:33:05 2005 -> Archive: Recursion level limit set to 8.
Wed Nov 30 10:33:05 2005 -> Archive: Files limit set to 1000.
Wed Nov 30 10:33:05 2005 -> Archive: Compression ratio limit set to 250.
Wed Nov 30 10:33:05 2005 -> Archive support enabled.
Wed Nov 30 10:33:05 2005 -> Archive: RAR support enabled.
Wed Nov 30 10:33:05 2005 -> Portable Executable support enabled.
Wed Nov 30 10:33:05 2005 -> Mail files support enabled.
Wed Nov 30 10:33:05 2005 -> OLE2 support enabled.
Wed Nov 30 10:33:05 2005 -> HTML support enabled.
Wed Nov 30 10:33:05 2005 -> Self checking every 1800 seconds.
Wed Nov 30 10:33:07 2005 -> Segmentation fault :-( Bye..

maillog:

Nov 30 10:33:05 mail postfix/smtpd[2636]: connect from unknown[10.0.0.70]
Nov 30 10:33:05 mail postfix/smtpd[2636]: 4FD547D140: client=unknown[10.0.0.70]
Nov 30 10:33:05 mail postfix/cleanup[2595]: 4FD547D140: message-id=<1168453500.20051130102238@vgt.ru>
Nov 30 10:33:05 mail postfix/qmgr[2592]: 4FD547D140: from=<yakubenko@vgt.ru>, size=4112411, nrcpt=1 (queue active)
Nov 30 10:33:05 mail clamsmtpd: 100045: accepted connection from: 127.0.0.1
Nov 30 10:33:05 mail postfix/smtpd[2597]: connect from localhost[127.0.0.1]
Nov 30 10:33:05 mail postfix/smtpd[2636]: disconnect from unknown[10.0.0.70]
Nov 30 10:33:05 mail postfix/smtpd[2597]: C144B7D14A: client=unknown[10.0.0.70]
Nov 30 10:33:07 mail clamsmtpd: 100045: clamd disconnected unexpectedly
Nov 30 10:33:07 mail clamsmtpd: 100045: from=yakubenko@vgt.ru, to=lasarev@vgt.ru
Nov 30 10:33:07 mail postfix/smtp[2596]: 4FD547D140: to=<yakubenko@vgt.ru>, relay=127.0.0.1[127.0.0.1], delay=2, status=deferred (host 127.0.0.1[127.0.0.1] said: 451 Local Error (in reply to end of DATA command))
Nov 30 10:33:07 mail postfix/smtpd[2597]: disconnect from localhost[127.0.0.1]

Ну и было еще много мусора в /tmp - как я понял, попытки развернуть все тома этого архива, как я понял, но я как-то сгоряча все это погрохал.
Пока стоял ClamAV, собранный вручную, такого за целый год не замечал ни разу. Что за ерунда? Как я понял, ClamAV многотомные архивы должен просто пропускать, не пытаясь проверять...

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от zedi emailИскать по авторуВ закладки(??) on 30-Ноя-05, 14:25  (MSK)
Бери версию 0.87.1 собирай ручками и в настройках clamd.conf есть секция что делать с архивами ...
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от umka19 emailИскать по авторуВ закладки(ok) on 01-Дек-05, 07:51  (MSK)
>Бери версию 0.87.1 собирай ручками и в настройках clamd.conf есть секция что
>делать с архивами ...

zedi, спасибо большое за совет, конечно, только мне все-таки хотелось бы иметь поддержку RAR3 - а проблема в том, что когда я собираю клам руками, то привернуть к нему эту поддержку не удается... все в конечном итоге отправляют вот сюда - http://mcmcc.bat.ru/clam_rar3.html, но как мне кажется, или я такой идиот, или это все годится только для линукса и старого clamav, а на BSD что-то по другому надо делать - ну не собираются у меня последние версии клама с этими патчами :(
Если есть описание как это сделать конкретно для фри и для текущей версии клама - ткните носом, пожалуйста...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от zedi emailИскать по авторуВ закладки(??) on 01-Дек-05, 11:52  (MSK)
>>Бери версию 0.87.1 собирай ручками и в настройках clamd.conf есть секция что
>>делать с архивами ...
>
>zedi, спасибо большое за совет, конечно, только мне все-таки хотелось бы иметь
>поддержку RAR3 - а проблема в том, что когда я собираю
>клам руками, то привернуть к нему эту поддержку не удается... все
>в конечном итоге отправляют вот сюда - http://mcmcc.bat.ru/clam_rar3.html, но как мне
>кажется, или я такой идиот, или это все годится только для
>линукса и старого clamav, а на BSD что-то по другому надо
>делать - ну не собираются у меня последние версии клама с
>этими патчами :(
>Если есть описание как это сделать конкретно для фри и для текущей
>версии клама - ткните носом, пожалуйста...


поищи на opennet.ru около двух или 3 месяцев назад была подобная статья можешь также на yandex.ru поискать.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от lavr emailИскать по авторуВ закладки on 01-Дек-05, 12:11  (MSK)
>>Бери версию 0.87.1 собирай ручками и в настройках clamd.conf есть секция что
>>делать с архивами ...
>
>zedi, спасибо большое за совет, конечно, только мне все-таки хотелось бы иметь
>поддержку RAR3 - а проблема в том, что когда я собираю
>клам руками, то привернуть к нему эту поддержку не удается... все
>в конечном итоге отправляют вот сюда - http://mcmcc.bat.ru/clam_rar3.html, но как мне
>кажется, или я такой идиот, или это все годится только для
>линукса и старого clamav, а на BSD что-то по другому надо
>делать - ну не собираются у меня последние версии клама с
>этими патчами :(
>Если есть описание как это сделать конкретно для фри и для текущей
>версии клама - ткните носом, пожалуйста...

правильно настроить реакцию clamav -> clamd.conf
и порты тут не при делах

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от jj Искать по авторуВ закладки on 01-Дек-05, 12:23  (MSK)
>> Wed Nov 30 10:33:05 2005 -> Self checking every 1800 seconds.
>> Wed Nov 30 10:33:07 2005 -> Segmentation fault :-( Bye..

да при чём тут конф? руки...
вообще-то даже не помню, чтобы клам так вылетал.
сложно ответить, почему ТАК себя ведёт. смотри дебаг, вербозь.
вариантов $$$.

конфиг ядра, make.conf, sysctl, df -h, rm -r /tmp/clam* ... дальше перечислять?

и не видно, что это из-за архива. сразу в кору.
проверь на небольших многотомниках.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от lavr emailИскать по авторуВ закладки on 01-Дек-05, 13:32  (MSK)
>>> Wed Nov 30 10:33:05 2005 -> Self checking every 1800 seconds.
>>> Wed Nov 30 10:33:07 2005 -> Segmentation fault :-( Bye..
>
>да при чём тут конф? руки...

потому что порт РЕАЛЬНО работает без проблем, все что остается
сделать после его установки - догадайтесь с одного раза!

>вообще-то даже не помню, чтобы клам так вылетал.
>сложно ответить, почему ТАК себя ведёт. смотри дебаг, вербозь.
>вариантов $$$.
>
>конфиг ядра, make.conf, sysctl, df -h, rm -r /tmp/clam* ... дальше перечислять?
>

конфиг ядра ощутимо влияет на падение кламав, предлагаю добавить
еще ТЕСТИРОВАНИЕ железа - bad sectors, disk speed, disk free-space,
bad-ram...

>и не видно, что это из-за архива. сразу в кору.
>проверь на небольших многотомниках.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от umka19 emailИскать по авторуВ закладки(ok) on 01-Дек-05, 13:39  (MSK)
>конфиг ядра, make.conf, sysctl, df -h, rm -r /tmp/clam* ... дальше перечислять?

Ой, не надо... так и подмывает спросить, что может влиять в конфиге ядра, но боюсь быть посланным. :)

>и не видно, что это из-за архива. сразу в кору.
>проверь на небольших многотомниках.

Проверял уже. Валится именно на многотомных RAR. "test.part1.rar" проходит, "test.part2.rar" - падает. Отправлял и в одном письме обе части, и в разных письмах, результат один. WinRar 3.11 лицензионный
Пока отключил проверку RAR... :(

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от umka19 emailИскать по авторуВ закладки(ok) on 01-Дек-05, 13:32  (MSK)
>правильно настроить реакцию clamav -> clamd.conf
>и порты тут не при делах

lavr, я прошу прощения, сегодня, наверное, не мой день, но я не могу понять, где настраивается реакция клама на появление многотомного архива.
:(

Вот секция, относящаяся к архиваторам и как я понимаю значения этих параметров

ScanArchive - проверять архивы
ScanRAR - проверять RAR-архивы
ArchiveMaxFileSize 10M - не проверять архивы больше 10 мегабайт
ArchiveMaxRecursion - вложенные архивы проверять до глубины вложенности 9
ArchiveMaxFiles 1000 - проверять не более 1000 файлов из архива
ArchiveMaxCompressionRatio 250 - если степень сжатия архива больше 250 - считать архив зараженным
#ArchiveLimitMemoryUsage только для bzip2 более медленный но менее критичный к памяти алгоритм
#ArchiveBlockEncrypted зашифрованные архивы считать зараженными
#ArchiveBlockMax считать архив зараженным если превышены значения ArchiveMaxFiles, ArchiveMaxFileSize, or ArchiveMaxRecursion

Только что скачал clamav-0.87.1 - конфиг абсолютно такой же :( Что нужно изменить/добавить?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от jj Искать по авторуВ закладки on 01-Дек-05, 14:09  (MSK)
# cat clamd.conf
LogFile /var/log/vir/clamd.log
LogFileMaxSize 10M
LogTime
LogVerbose
PidFile /tmp/clamd.pid
TemporaryDirectory /tmp
LocalSocket /tmp/clamd.sock
FixStaleSocket
MaxConnectionQueueLength 30
StreamMaxLength 20M
StreamMinPort 10000
StreamMaxPort 60000
MaxThreads 20
ReadTimeout 300
IdleTimeout 60
MaxDirectoryRecursion 20
FollowDirectorySymlinks
FollowFileSymlinks
SelfCheck 3600

DisableDefaultScanOptions
ScanPE
DetectBrokenExecutables
ScanOLE2
ScanMail
ScanHTML
ScanArchive
ScanRAR
ArchiveMaxFileSize 15M
ArchiveMaxRecursion 9
ArchiveMaxFiles 1500
ArchiveMaxCompressionRatio 300
ArchiveLimitMemoryUsage
ArchiveBlockEncrypted
ArchiveBlockMax

спецом поставил, проверяю:
# clamdscan -v *
/dist/i/UE!.part1.rar: OK
/dist/i/UE!.part2.rar: OK
/dist/i/UE!.part3.rar: RAR module failure ERROR

----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.667 sec (0 m 0 s)
# clamdscan -v UE\!.part3.rar UE\!.part2.rar UE\!.part1.rar
/dist/i/UE!.part3.rar: RAR module failure ERROR
/dist/i/UE!.part2.rar: OK
/dist/i/UE!.part1.rar: OK

----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.661 sec (0 m 0 s)

не валится :) архи внутри не проверяет (тоже спецом зарарил 3.51), в логе только отчёты об ошибках при проверке.

понятно, что clamscan отрабатывает на урря. дело в том, что при ошибке он вызывает внешний unrar:

# clamscan --unrar *
/dist/i/UE!.part1.rar: OK
/dist/i/UE!.part2.rar: OK
/dist/i/UE!.part3.rar: RAR module failure

UNRAR 3.51 freeware      Copyright (c) 1993-2005 Alexander Roshal


Extracting from /dist/i/UE!.part3.rar


Extracting from /dist/i/UE!.part1.rar

Creating    UE!                                                       OK
Extracting  UE!/x_lite-counterpath_Win32_1105x_21407.exe
..........

ессно, что у тебя скорее траблы с либами унрара.. копать надо...
FreeBSD vvv 6.0-RELEASE FreeBSD 6.0-RELEASE #0:

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от umka19 emailИскать по авторуВ закладки(ok) on 01-Дек-05, 14:35  (MSK)
>спецом поставил, проверяю:
># clamdscan -v *
>/dist/i/UE!.part1.rar: OK
>/dist/i/UE!.part2.rar: OK
>/dist/i/UE!.part3.rar: RAR module failure ERROR

А у меня при таком раскладе вот что пишет:

# clamdscan -v *
/tmp/tmp/test.part1.rar: OK
/tmp/tmp/test.part2.rar: OK

----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0:054 sec (0 m 0 s)
# /tmp/tmp # clamdscan -v *
connect(): Connection refused
ERROR: Can't connect to clamd.

----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.000 sec (0 m 0 s)

>ессно, что у тебя скорее траблы с либами унрара.. копать надо...
>FreeBSD vvv 6.0-RELEASE FreeBSD 6.0-RELEASE #0:

Может быть, сколько раз я пытался руками собрать клам с подержкой РАР, может, что-то и изгадил :(
Попробую еще на виртуалке поднять чистый сервер и посмотреть, что будет. Если заработает - будет лишний повод трясти бабки на новый сервер...
Спасибо за помошь!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от jj Искать по авторуВ закладки on 01-Дек-05, 15:00  (MSK)
хорошая идея = трясти лавэ на стервак изза клама :) мне он так не помогает...
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от umka19 emailИскать по авторуВ закладки(ok) on 01-Дек-05, 15:10  (MSK)
>хорошая идея = трясти лавэ на стервак изза клама :) мне он
>так не помогает...

да давно пора, "серверу" на персоналке собранному сто лет в обед, все жмутся...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "ClamAv+Postfix - проверка многотомных RAR-архивов" 
Сообщение от XPurple emailИскать по авторуВ закладки(ok) on 02-Дек-05, 09:12  (MSK)
>>хорошая идея = трясти лавэ на стервак изза клама :) мне он
>>так не помогает...
>
>да давно пора, "серверу" на персоналке собранному сто лет в обед, все
>жмутся...
Решил проверить проверяет ли у меня clamav rar-ские архивы > 3.00
"sudo -u clamav clamdscan -v *" при вЫключенной опции ScanRAR выдает OK
при ВКлюченной опции ScanRAR выдает "RAR module failure ERROR".
Отчего такое происходит ?


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру