Bekijk Volledige Versie : clamav problemen na update via update script
We hadden de EOL melding van ClamAv (zie http://www.clamav.net/lang/en/2009/10/05/eol-clamav-094/) niet gelezen en we liepen al jaren achter met het update van clamav.
Echter sinds de 15de hebben we dus problemen met onze mail ontvangen en versturen. Precies zoals beschreven in de EOL aanmelding.
Gebruikers van het systeem krijgen een foutmelding in outlook (express):
Taak xxxxxx- Verzenden... rapporteert fout (0x800CCC6A): Er is een interne fout opgetreden op de server voor uitgaande e-mail (SMTP). Als u dit bericht blijft ontvangen, neemt u contact op met de serverbeheerder of internetprovider (ISP). De reactie van de server was: 451 Temporary local problem - please try later
Dat was op te lossen door het bestand daily.cvd weg te gooien en dan clamd opnieuw op te sturen, maar ja dat willen we natuurlijk niet echt.
Daarom zijn we de update begonnen naar de laatste versie ClamAv. Dat viel nog niet mee, maar via het updatescript van http://www.web4host.net lukte het uiteindelijk wel.
Echter na herstart bleken de gebruikers nog steeds dezelfde foutmelding te krijgen.
In het exim/mainlog krijgen we de volgende meldingen:
2010-04-17 18:04:08 1O3AV5-00071t-U5 malware acl condition: clamd: unable to connect to UNIX socket /tmp/clamd (No such file or directory)
2010-04-17 18:04:08 1O3AV5-00071t-U5 H=(domein) [IP] F=<> temporarily rejected after DATA
2010-04-17 18:04:45 1O3AVg-000720-MM malware acl condition: clamd: unable to connect to UNIX socket /tmp/clamd (No such file or directory)
2010-04-17 18:04:45 1O3AVg-000720-MM H=domein [IP] F=<bounce@leisure-nh.net> temporarily rejected after DATA
2010-04-17 18:04:46 1O3AVi-000721-2t malware acl condition: clamd: unable to connect to UNIX socket /tmp/clamd (No such file or directory)
2010-04-17 18:04:46 1O3AVi-000721-2t H=domein [IP] F=<gebruiker@domein.nl> temporarily rejected after DATA
2010-04-17 18:04:48 1O3AVk-000725-Ck malware acl condition: clamd: unable to connect to UNIX socket /tmp/clamd (No such file or directory)
2010-04-17 18:04:48 1O3AVk-000725-Ck H=(domein.nl) [IP] F=<gebruiker@domein.nl> temporarily rejected after DATA
De melding van temporarily rejected after DATA is niet correct natuurlijk en moet volgens wat ik ervan kan vinden te maken hebben met het feit dat CLAMD niet draait (maar dat is wel het geval op dat moment).
ook de melding clamd: unable to connect to socket is niet correct en waarschijnlijk veroorzaker van het probleem vermoeden wij.
Als we gaan kijken naar de whereis en which van clamd en de versies van de updates dan krijgen we dit:
[root@server updatescript]# freshclam
ClamAV update process started at Sat Apr 17 17:31:36 2010
main.cld is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
daily.cvd is up to date (version: 10755, sigs: 52428, f-level: 51, builder: guitar)
bytecode.cvd is up to date (version: 8, sigs: 1, f-level: 51, builder: nervous)
[root@server updatescript]# whereis clamd
clamd: /etc/clamd.conf /usr/local/bin/clamd /usr/local/sbin/clamd
[root@server updatescript]# which clamd
/usr/local/sbin/clamd
[root@server updatescript]#
In de Exim.conf hebben we de volgende items toegevoegd (maar ook stuk voor stuk uitgezet door de #):
av_scanner = clamd:127.0.0.1 3310
# primary_hostname =
acl_smtp_rcpt = check_recipient
acl_smtp_data = check_message
deny message = This message contains malformed MIME ($demime_reason)
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}
deny message = This message contains a virus or other harmful content ($malware_name)
demime = *
malware = *
deny message = This message contains an attachment of a type which we do not accept (.$found_extension)
demime = bat:com:pif:prf:scr:vbs
warn message = X-Antivirus-Scanner: Clean mail though you should still use an Antivirus
Maar wat we ook proberen, het probleem blijft bestaan. er komt geen mail in en er gaat geen mail uit. Heeft iemand een idee wat we nu het beste kunnen doen om de fouten weg te krijgen?
Heb je al een killall -9 clamd geprobeerd en daarna alles opnieuw gestart?
zojuist de killall gedaan, en een herstart, maar geen effect. probleem blijft ontstaan.
Nog andere ideeën?
Het zit toch echt in die hoek. Loop nogmaals je exim config na of je niet nog steeds de verkeerde config gebruikt richting clamav...
Ik denk wel dat we het daar moeten zoeken, maar hoe moet ik exim.conf in stellen voor de juiste clamav?
als ik nogmaals ga kijken naar de which clamd dan krijg ik:/usr/local/bin/clamd
als ik dan in de clamd.conf kijk zie ik :
LocalSocket /usr/local/sbin
en in de exim.conf gebruik ik nu (net aangepast voor de herstart):
av_scanner = clamd:/usr/local/sbin 3310
waar haalt hij dan vandaan dat hij clamd op /tmp moet zoeken?
Ik heb zojuist clamav ook even geupdate (niet dat ik < 0.95 draaide ;)). Ik had precies hetzelfde als jou, wat ik heb gedaan:
av_scanner = clamd:/tmp/clamd
vervangen door:
av_scanner = clamd:127.0.0.1 3310
service clamd restart
rm -f /tmp/clamd
service exim restart
En toen werkte het weer.
We hebben dit probleem gisteren ook met een aantal debian servers gehad. Bij ons had het te maken met de virus definities. Hij gaf de melding dat de oude virus definities niet meer ondersteund werden en dat clamav geupdate moest worden.
apt-get update && apt-get install clamav-daemon
Na dit gedaan te hebben starte clamd weer op werkte alles weer als van ouds.
Ik ben er van overtuigd dat clamd wel is geupdate, maar er staat ergens dus een foute verwijzing naar /tmp/clamd en dat kan ik niet achterhalen.
zowel de exim.conf als clamd.conf lijken in orde.
Heeft iemand een idee hoe ik de clamav scanning uit kan zetten anders?
Als we dat veranderen in exim.conf en exim herstarten blijft de foutmelding naar boven komen. Kan het nog ergens met dovecot te maken hebben?
Er is enig geschuif geweest met de socket van clamd. Je moet de /tmp/clamd dus wijzigen in wat het nu is geworden. Ik doe een gok en stel voor dat je begint met kijken naar /var/run/clamav/clamd.sock
Oliver, twee vraagjes dan. Is dat niet de info die ik krijg bij which clamd?
[root@server updatescript]# which clamd
/usr/local/sbin/clamd
En waar zou ik die wijziging door moeten voeren. Ik heb de exim.conf daarop al aangepast en de clamd.conf. Waar kan / moet dat dan nog meer wellicht?
Oliver, twee vraagjes dan. Is dat niet de info die ik krijg bij which clamd?
En waar zou ik die wijziging door moeten voeren. Ik heb de exim.conf daarop al aangepast en de clamd.conf. Waar kan / moet dat dan nog meer wellicht?
Nope, dat is je binary, vergelijk:
$ file /usr/local/sbin/clamd
/usr/local/sbin/clamd: ELF 64-bit LSB executable, x86-64, version 1 (...)
met:
$ file /var/run/clamav/clamd.sock
/var/run/clamav/clamd.sock: socket
Voor exim gebruik je gewoon:
av_scanner = clamd:/var/run/clamav/clamd.sock
LET OP: Dit is mijn situatie. Je moet natuurlijk zelf controleren waar jouw clamd-socket staat en hoe die precies heet!
rackhost.be
17/04/10, 22:25
hier (debian)
av_scanner = clamd:/var/run/clamav/clamd.ctl
Ik heb even naar alles clamv.* gezocht en krijg dan geen .sock
/etc/clamd.conf
/usr/local/updatescript/clamav-0.96/docs/man/clamd.8
/usr/local/updatescript/clamav-0.96/docs/man/clamd.8.in
/usr/local/updatescript/clamav-0.96/docs/man/clamd.conf.5
/usr/local/updatescript/clamav-0.96/docs/man/clamd.conf.5.in
/usr/local/updatescript/clamav-0.96/win32/res/clamd.rc
/usr/local/updatescript/clamav-0.96/win32/clamd.vcproj
/usr/local/updatescript/clamav-0.96/clamd/clamd.c
/usr/local/updatescript/clamav-0.96/clamd/clamd.o
/usr/local/updatescript/clamav-0.96/clamd/.deps/clamd.Po
/usr/local/share/man/man8/clamd.8
/usr/local/share/man/man5/clamd.conf.5
netstat -anp |grep clamd
Geen file socket meer, maar wel een over tcp
Ok, dan krijg ik
tcp 0 0 127.0.0.1:3310 0.0.0.0:* LISTEN 8336/clamd
dus dan zou je zeggen dat de exim.conf entry van
av_scanner = clamd:127.0.0.1 3310
correct is. (staat er nu in dus)
toch geeft exim/mainlog nog aan dat:
clamd: unable to connect to UNIX socket /tmp/clamd (No such file or directory)
waar komt die melding dan vandaan?
sorry, twee keer zelfde bericht.
doe je een exim restart ?
Doe eens exim geheel stoppen, zorgen dat alle threads weg zijn. Dan weer starten.
rackhost.be
17/04/10, 22:42
staat hij niet in clamd.conf op /tmp/clamd ? (LocalSocket)
als ik exim helemaal gestopt heb en dan weer opstart krijg ik meteen in de mainlog:
2010-04-17 22:42:11 exim 4.71 daemon started: pid=9886, -q15m, listening for SMTP on port 25 (IPv4) port 587 (IPv4)
2010-04-17 22:42:20 1O3EqJ-0002Zb-Rt malware acl condition: clamd: unable to connect to UNIX socket /tmp/clamd (No such file or directory)
dus meteen na opstart eerst een foutmelding.
rackhost.be
17/04/10, 22:47
in /etc/clamav/clamd.conf
LocalSocket /var/run/clamav/clamd.ctl
in /etc/exim.conf
av_scanner = clamd:/var/run/clamav/clamd.ctl
ik heb in clamd.conf de socket nog op commentaar staan.
in centos is er volgens mij geen clamd.ctl maar wordt de localsocket verwezen naar die 127.0.0.1:3310???
Wat geeft :
exim -bP |grep clamd
krijg helemaal niets retour.??? klopt dat?
in /etc/clamd.conf
# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
#LocalSocket /tmp/clamd
^^ centos :)
krijg helemaal niets retour.??? klopt dat?
Doe hem eens zonder grep, is exim wel gestart ?
ja inderdaad bij mij stond localsocket nog op commentaar, heb nu die 127.0.0.1:3310 nog geprobeerd (en # weggehaald), clamd opnieuw opgestart, maar geen verbetering.
zonder grep kreeg ik nu:
[root@server etc]# exim -bP
no_accept_8bitmime
acl_not_smtp =
acl_not_smtp_mime =
acl_not_smtp_start =
acl_smtp_auth =
acl_smtp_connect =
acl_smtp_data = check_message
acl_smtp_dkim =
acl_smtp_etrn =
acl_smtp_expn =
acl_smtp_helo =
acl_smtp_mail =
acl_smtp_mailauth =
acl_smtp_mime =
acl_smtp_notquit =
acl_smtp_predata =
acl_smtp_quit =
acl_smtp_rcpt = check_recipient
acl_smtp_starttls =
acl_smtp_vrfy =
admin_groups =
no_allow_domain_literals
no_allow_mx_to_ip
no_allow_utf8_domains
auth_advertise_hosts = *
auto_thaw = 0s
av_scanner = sophie:/var/run/sophie
bi_command =
bounce_message_file =
bounce_message_text =
bounce_return_body
bounce_return_message
bounce_return_size_limit = 100K
bounce_sender_authentication =
callout_domain_negative_expire = 3h
callout_domain_positive_expire = 1w
callout_negative_expire = 2h
callout_positive_expire = 1d
callout_random_local_part = $primary_hostname-$tod_epoch-testing
check_log_inodes = 0
check_log_space = 0
check_rfc2047_length
check_spool_inodes = 0
check_spool_space = 0
daemon_smtp_ports = 25 : 587
daemon_startup_retries = 9
daemon_startup_sleep = 30s
delay_warning = 1d
delay_warning_condition = ${if or {{ !eq{$h_list-id:$h_list-post:$h_list-subscribe:}{} }{ match{$h_precedence:}{(?i)bulk|list|junk} }{ match{$h_auto-submitted:}{(?i)auto-generated|auto-replied} }} {no}{yes}}
no_deliver_drop_privilege
deliver_queue_load_max = 5.0
delivery_date_remove
no_disable_ipv6
dkim_verify_signers = $dkim_signers
dns_again_means_nonexist =
dns_check_names_pattern = (?i)^(?>(?(1)\.|())[^\W](?>[a-z0-9/_-]*[^\W])?)+(\.?)$
dns_csa_search_limit = 5
dns_csa_use_reverse
dns_ipv4_lookup =
dns_retrans = 0s
dns_retry = 0
no_drop_cr
dsn_from = Mail Delivery System <Mailer-Daemon@$qualify_domain>
envelope_to_remove
errors_copy =
errors_reply_to =
exim_group = mail
exim_path = /usr/sbin/exim
exim_user = mail
extra_local_interfaces =
extract_addresses_remove_arguments
finduser_retries = 0
freeze_tell =
gecos_name =
gecos_pattern =
no_gnutls_compat_mode
gnutls_require_kx =
gnutls_require_mac =
gnutls_require_protocols =
header_line_maxsize = 0
header_maxsize = 1048576
headers_charset = ISO-8859-1
helo_accept_junk_hosts =
helo_allow_chars = _
helo_lookup_domains = @ : @[]
helo_try_verify_hosts =
helo_verify_hosts =
hold_domains =
host_lookup = *
host_lookup_order = bydns:byaddr
host_reject_connection =
hosts_connection_nolog =
hosts_treat_as_local =
ignore_bounce_errors_after = 2d
ignore_fromline_hosts =
no_ignore_fromline_local
keep_malformed = 4d
local_from_check
local_from_prefix =
local_from_suffix =
local_interfaces = 0.0.0.0
local_scan_timeout = 5m
no_local_sender_retain
localhost_number =
log_file_path = /var/log/exim/%slog
log_selector = +delivery_size +sender_on_delivery +received_recipients +received_sender +smtp_confirmation +subject +smtp_incomplete_transaction -dnslist_defer -host_lookup_failed -queue_run -rejected_header -retry_defer -skip_delivery
no_log_timezone
lookup_open_max = 25
max_username_length = 0
no_message_body_newlines
message_body_visible = 3000
message_id_header_domain =
message_id_header_text =
message_logs
message_size_limit = 20M
no_move_frozen_messages
no_mua_wrapper
never_users = root
percent_hack_domains =
no_perl_at_start
perl_startup = do '/etc/exim.pl'
pid_file_path = /var/run/exim.pid
pipelining_advertise_hosts = *
no_preserve_message_logs
primary_hostname = server.rods.nl
print_topbitchars
process_log_path =
prod_requires_admin
qualify_domain = server.rods.nl
qualify_recipient = server.rods.nl
queue_domains =
queue_list_requires_admin
no_queue_only
queue_only_file =
queue_only_load =
queue_only_load_latch
queue_only_override
no_queue_run_in_order
queue_run_max = 5
queue_smtp_domains =
receive_timeout = 0s
received_header_text = Received: ${if def:sender_rcvhost {from $sender_rcvhost\n\t}{${if def:sender_ident {from ${quote_local_part:$sender_ident} }}${if def:sender_helo_name {(helo=$sender_helo_name)\n\t}}}}by $primary_hostname ${if def:received_protocol {with $received_protocol}} ${if def:tls_cipher {($tls_cipher)\n\t}}(Exim $version_number)\n\t${if def:sender_address {(envelope-from <$sender_address>)\n\t}}id $message_exim_id${if def:received_for {\n\tfor $received_for}}
received_headers_max = 30
recipient_unqualified_hosts =
recipients_max = 0
no_recipients_max_reject
remote_max_parallel = 2
remote_sort_domains =
retry_data_expire = 1w
retry_interval_max = 1d
return_path_remove
rfc1413_hosts = *
rfc1413_query_timeout = 0s
sender_unqualified_hosts =
smtp_accept_keepalive
smtp_accept_max = 100
smtp_accept_max_nonmail = 10
smtp_accept_max_nonmail_hosts = *
smtp_accept_max_per_connection = 1000
smtp_accept_max_per_host =
smtp_accept_queue = 0
smtp_accept_queue_per_connection = 10
smtp_accept_reserve = 0
smtp_active_hostname =
smtp_banner = $smtp_active_hostname ESMTP Exim $version_number $tod_full
smtp_check_spool_space
smtp_connect_backlog = 50
smtp_enforce_sync
smtp_etrn_command =
smtp_etrn_serialize
smtp_load_reserve =
smtp_max_synprot_errors = 3
smtp_max_unknown_commands = 3
smtp_ratelimit_hosts =
smtp_ratelimit_mail =
smtp_ratelimit_rcpt =
smtp_receive_timeout = 5m
smtp_reserve_hosts =
no_smtp_return_error_details
spamd_address = 127.0.0.1 783
split_spool_directory
spool_directory = /var/spool/exim
no_strict_acl_vars
no_strip_excess_angle_brackets
no_strip_trailing_dot
no_syslog_duplication
syslog_facility =
syslog_processname = exim
syslog_timestamp
system_filter = /etc/system_filter.exim
system_filter_directory_transport =
system_filter_file_transport =
system_filter_group =
system_filter_pipe_transport =
system_filter_reply_transport =
system_filter_user =
tcp_nodelay
timeout_frozen_after = 5d
timezone =
tls_advertise_hosts = *
tls_certificate = /etc/exim.cert
tls_crl =
tls_dhparam =
tls_on_connect_ports =
tls_privatekey = /etc/exim.key
no_tls_remember_esmtp
tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
tls_try_verify_hosts =
tls_verify_certificates =
tls_verify_hosts =
trusted_groups =
trusted_users = mail:majordomo:apache:diradmin
unknown_login =
unknown_username =
untrusted_set_sender =
uucp_from_pattern = ^From\s+(\S+)\s+(?:[a-zA-Z]{3},?\s+)?(?:[a-zA-Z]{3}\s+\d?\d|\d?\d\s+[a-zA-Z]{3}\s+\d\d(?:\d\d)?)\s+\d\d?:\d\d?
uucp_from_sender = $1
warn_message_file =
write_rejectlog
[root@server etc]#
av_scanner = sophie:/var/run/sophie
av_scanner = clamd:127.0.0.1 3310
Mikey, moet ik ook die sophie in exim.conf zetten? want die staat er bij mij niet in nu, en moet ik die nog apart installeren?
Mikey, moet ik ook die sophie in exim.conf zetten? want die staat er bij mij niet in nu, en moet ik die nog apart installeren?
Ik heb het idee dat je exim installatie zijn config ergens anders vandaan haalt. Dat sophie staat namelijk in je running config...
maar ik heb al een find gedaan op exim.conf en geen andere gevonden. maar is die sophie niet van sophos? die heb ik niet geinstalleerd gehad.
en dat jouw idee wel eens waar kan zijn, zou kloppen met het feit dat het niet uitmaakt wat ik van # voorzie in de exim.conf. hij blijft zelfde meldingen geven.
hoe kan ik achterhalen waar exim zijn config vandaan haalt?
updatedb
locate exim.conf
[root@server updatescript]# locate exim.conf
/etc/.exim.conf.swp
/etc/exim.conf
/etc/exim.conf.aangepast
/etc/exim.conf.orig
/etc/exim.conf.rpmnew
/etc/exim.conf.rpmsave
/home/backup/05-31-08/custom/etc/exim.conf.md5
/home/backup/05-31-08/custom/etc/exim.conf.tar.gz
/usr/local/directadmin/custombuild/exim.conf.dovecot.patch
/usr/local/directadmin/data/templates/exim.conf
/usr/share/logwatch/default.conf/logfiles/exim.conf
/usr/share/logwatch/default.conf/services/exim.conf
waar haalt hij hem vandaan??
alles behalve exim.conf weggooien?
Nou dat klopte inderdaad Mikey. tanks voor de hint.
er stond in /etc nog een file, deze heet exim_outgoing.conf
Die heb ik nu aangepast, exim herstart en de foutmelding is weg.
Maar nu even controleren of alles ook door wil gaan.
heel ander issue waarschijnlijk, maar nu zie ik dat er een andere foutmelding staat:
T=virtual_localdelivery defer (13): Permission denied: failed to create directories for /var/spool/virtual/domein.nl: Permission denied
iemand een idee daarover??
zie dat we daar zelf eerder ook een probleem mee gehad hebben. Toen hebben we dat ook op kunnen lossen.
Eerst even clean herstart nu.
Na herstart spuwt hij wel de mail eruit, maar daarna blijven ze weer in de queue staan... vreemd.
maar in ieder geval bedankt voor de oplossing voor mijn originele vraag in deze thread.
Hier een stomme vraag.
Als je in eerste instantie de update.script hebt gebruik, waarom rebuild je CalmAV dan hier ook niet mee?
cd /usr/local/directadmin/scripts
en dan
./set_permissions.sh email
Ook ik heb dit probleem gehad (5 min geleden opgelost) op mijn CentOS server. Het heeft een aantal zenuwachtige uurtjes gekost maar dankzij deze thread draait het weer.
Mijn probleem zat hem ook in het updaten van Clamav. Heb dit wel via het updatescript gedaan maar kon daarna geen mail meer ontvangen en ook niet verzenden.
Ook ik had dubbele clamd.conf en exim.conf files na de update maar de juiste in mijn geval waren:
/etc/clamd.conf
/etc/exim_outgoing.conf
Deze heb ik aangepast met de 127.0.0.1:3310 als socket verwijzing toen nog cd /usr/local/directadmin/scripts
en dan ./set_permissions.sh uitvoeren en was de mail weer online.
Bij deze allen bedankt! :thumbup:
lsof -i :3310
Draait clamd op die port?
Nee:
check /etc/clamd.conf
Check de port en of hij op localhost draait.
Na de uninstall zal hij de clamd.conf clamd.conf.rmpsave of iets dergelijks hebben genoemd. Zet deze file terug en restart alles.
ClamAV maakt bij de meeste (DA) installaties gebruik van een socket, niet van een TCP poort.
Nadat ik mijn server, en nog vele andere, van dit probleem afhielp was het gewoon heel vaak dat de orginele /etc/clamd.conf werd hernoemt naar /etc/clamd.conf.rmpsave. Hierdoor draaide clamav wel gewoon maar dus niet op de juiste manier.
Omdat clamav bij vele niet meer via yum of apt werd geupdate hebben ze dit met de hand verwijderd en het zelf gebuild of via andere rpm geïnstalleerd.
Ik roep clamav in exim op via: av_scanner = clamd:127.0.0.1 3310