[Postfixbuch-users] clamav problem, keine zustellung mehr

Bernd Schmelter benn at chefe.dyndns.org
Do Jun 26 20:19:47 CEST 2008


Am 25.06.2008 um 06:32 schrieb Uwe Driessen:

> Bernd Schmelter schrieb:
>> Am 24.06.2008 um 09:00 schrieb Tobi H:
>>
>>> Hallo,
>>>
>>> folgende Fehlermeldung:
>>>
>>> CLAMAV: couldn't connect to: /var/run/clamav/clamd.ctl: No such file
>>> or directory
>>>
>>> freshclam kann sich scheinbar auch nichtmehr connecten.
>>> Problem ist vielleicht dass es noch eine alte clam version ist?
>>
>> Ahh!!, endlich mal jemand, der das gleiche Problem hat. Der clamd
>> (...über den Amavis per Socket zugreift)
>> stirbt halt hin und wieder.  Die Ursache findet man aber nicht im
>> clamav.log. Außer, der "Fehler" liegt bei
>> händischem Neustart immer noch an. Dann erzählt clamav auch mal was
>> auf der console u. im log.
>
> Nö der stirbt nicht der rennt hier sauber durch.
> Mal im Maillog nachgeschaut was zu dem Zeitpunkt für Mails und woher  
> die durch
> Amavis/Clamav geschleust wurden?
>
> http://www.heise.de/security/news/meldung/print/109606
>
>>
>> Hier war als Ursache meistens "md5-checksummerror" oder irgend etwas
>> mit hex2irgendwas.
>
> Geht es auch etwas genauer?


Heute ist es wieder passiert. ps -u clamav zeigt mir, dass da nur noch  
der freshclam läuft.
clamavd ist wieder abgestürzt

Letzte Logzeile aus clamav.log:
Thu Jun 26 18:50:46 2008 -> SelfCheck: Database modification detected.  
Forcing reload.

mail.log zu dem Zeitpunkt - hier ging während des Reloads der neuen  
Virenpattern genau
zum gleichen Zeitpunkt eine harmlose Mail aus Ubuntu-liste ein. -- 
 >mail.log:

Jun 26 18:50:52 gate amavis[2308]: (02308-02) Passed CLEAN,  
[82.195.75.100] [89.15.93.219] <bounce-debian-user-german=benn=chefe.dyndns.org at lists.debian.org 
 > -> <benn at chefe.dyndns.org>, Message-ID: <g40hc4$63n 
$1 at ger.gmane.org>, Resent-Message-ID: <8mx77-S13eP.A. 
7aC.kj8YIB at liszt>, mail_id: GPJR2SdiZVke, Hits: -0.937, size: 4783,  
queued_as: A96F621C2E4, 6829 ms
Jun 26 18:50:52 gate postfix/smtp[2360]: DE84A21C2E2: to=<benn at chefe.dyndns.org 
 >, relay=127.0.0.1[127.0.0.1]:10024, delay=7.3,  
delays=0.35/0.06/0.01/6.8, dsn=2.0.0, status=sent (250 2.0.0 Ok:  
queued as A96F621C2E4)

Bei der nächsten Maileinlieferung merkt auch amavis, dass da nix mehr  
läuft.

Jun 26 19:02:16 gate amavis[1935]: (01935-17) (!)ClamAV-clamd: Can't  
connect to UNIX socket /var/run/clamav/clamd.ctl: 111, retrying (2)
Jun 26 19:02:22 gate amavis[1935]: (01935-17) (!)run_av (ClamAV-clamd,  
built-in i/f): Too many retries to talk to /var/run/clamav/clamd.ctl  
(Can't connect to UNIX socket /var/run/clamav/clamd.ctl:  
Verbindungsaufbau abgelehnt) at (eval 86) line 310.
Jun 26 19:02:22 gate amavis[1935]: (01935-17) (!!)ClamAV-clamd av- 
scanner FAILED: CODE(0x8a6a8b0) Too many retries to talk to /var/run/ 
clamav/clamd.ctl (Can't connect to UNIX socket /var/run/clamav/ 
clamd.ctl: Verbindungsaufbau abgelehnt) at (eval 86) line 310. at  
(eval 86) line 511.

In /var/run/clamav liegen aber noch die alten Files (clamd.ctl u.  
clamd.pid) herum, was imho beweist, dass der clamd einfach
abgeschmiert ist und sich nicht selbst aus irgend welchen Gründen  
sauber terminiert hat.


Hier die letzten Einträge aus freshclam.log:


--------------------------------------
Received signal: wake up
ClamAV update process started at Thu Jun 26 18:13:50 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.93 Recommended version: 0.93.1
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cld is up to date (version: 47, sigs: 312304, f-level: 31,  
builder: sven)
Ignoring mirror 213.174.32.130 (due to previous errors)
Trying host db.local.clamav.net (213.209.100.191)...
nonblock_connect: connect timing out (30 secs)
Can't connect to port 80 of host db.local.clamav.net (IP:  
213.209.100.191)
Trying host db.local.clamav.net (62.26.160.3)...
Downloading daily-7571.cdiff [100%]
daily.cld updated (version: 7571, sigs: 17988, f-level: 31, builder:  
ccordes)
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Current functionality level = 29, recommended = 31
DON'T PANIC! Read http://www.clamav.net/support/faq
Database updated (330292 signatures) from db.local.clamav.net (IP:  
62.26.160.3)
--------------------------------------
Received signal: wake up
ClamAV update process started at Thu Jun 26 19:14:21 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.93 Recommended version: 0.93.1
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cld is up to date (version: 47, sigs: 312304, f-level: 31,  
builder: sven)
Downloading daily-7572.cdiff [100%]
daily.cld updated (version: 7572, sigs: 18064, f-level: 31, builder:  
ccordes)
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Current functionality level = 29, recommended = 31
DON'T PANIC! Read http://www.clamav.net/support/faq
Database updated (330368 signatures) from db.local.clamav.net (IP:  
212.1.60.18)
--------------------------------------

So, jetzt starte ich den clamav-deamon als root mit dem initscript neu:


gate:/var/log# /etc/init.d/clamav-daemon start
Starting ClamAV daemon: clamd LibClamAV Warning:  
***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is  
outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq 
  ***
LibClamAV Warning:  
***********************************************************
LibClamAV Warning:  
***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is  
outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq 
  ***
LibClamAV Warning:  
***********************************************************
.

Mist. Der clamd ist sauber gestartet, weil der freshclam inzwischen  
wieder ein neues Virenpattern herunter
geladen hat und wieder ist nix zu sehen, was den clamav-daemon zum  
Absturz gebracht hat.
Ich wette, wenn ich den Absturz vor der letzten  
Virenpatternaktualisierung bemerkt hätte,
dann hätte mir der Neustart des clamd auch auf der console eine schöne  
Fehlermeldung ausgegeben. :-(

Für mich als Fazit: Irgend ein I/O Problem (Timingproblem?  
Speichermanagement?) meiner lahmen Kiste
weil beim Reload der neuen Virenpattern durch clamd gleichzeitig  
Amavis auf clamd wegen zeitgleichen
Maileingang versuchte über den Socket zuzugreifen.

>
>
>>
>> Hier läuft Debian Lenny + Eintrag in der /etc/apt/sources.list:
>
> So läuft es auch bei mir auch, keine Probleme

[...]

>> benutzt und da stellte sich genau so ein Verhalten dar.
>
> Was ist das für eine Kiste? Mal mit top nachgeschaut wie die Last ist?

Last ist normal. load zwischen 0,0 und 1

Hier das "Kästchen":

100/133MHz FSB, VIA C3 EBGA CPU 400~667MHz; 733MHz+

http://www.fiebig.net/booksize-pc/unser_kleinster__booksize_pc.htm

Vorher hatte ich Antivir benutzt und da stellte sich der Fehler so  
dar, dass mir gemeldet wurde,
dass die Virenpattern (antivir.vdf, antivir.vdf0 etc) zerschossen  
sein. Die Ursache wird die gleiche sein.
Sonst läuft die Kiste ja stabil, so dass ich einen Speicherfehler  
ausschließe.
Nebenbei läuft da noch ein Apache mit Squirrelmail drauf und ein ntpd  
und ich bin auch der einzige User.

MfG
Benn


Mehr Informationen über die Mailingliste Postfixbuch-users