[Comm] Ошибки clamav

[Comm] Ошибки clamav

[Stas]

Приветствую!

На одном сервере с P7 регулярно падает clamav сразу после обновлений базы.
Сегодня поймал этот момент.
1. frashclam обновляет базу, не находит один из diff-файлов , потом
соощает, что он скачался и "пинает" clamd.
Sun Oct 23 19:50:01 2016 -> ClamAV update process started at Sun Oct 23
19:50:01 2016
Sun Oct 23 19:50:01 2016 -> main.cvd is up to date (version: 57, sigs:
4218790, f-level: 60, builder: amishhammer)
Sun Oct 23 19:50:02 2016 -> WARNING: getfile: daily-22417.cdiff not
found on database.clamav.net (IP: 62.140.250.250)
Sun Oct 23 19:50:02 2016 -> WARNING: getpatch: Can't download
daily-22417.cdiff from database.clamav.net
Sun Oct 23 19:50:02 2016 -> Downloading daily-22417.cdiff [100%]
Sun Oct 23 19:50:04 2016 -> daily.cld updated (version: 22417, sigs:
765391, f-level: 63, builder: neo)
Sun Oct 23 19:50:04 2016 -> bytecode.cvd is up to date (version: 283,
sigs: 53, f-level: 63, builder: neo)
Sun Oct 23 19:50:07 2016 -> Database updated (4984234 signatures) from
database.clamav.net (IP: 84.17.12.94)
Sun Oct 23 19:50:07 2016 -> Clamd successfully notified about the update.
2. clamd не может запуститься и завершается:
Sun Oct 23 19:41:31 2016 -> SelfCheck: Database status OK.
Sun Oct 23 19:50:08 2016 -> Reading databases from /var/lib/clamav
Sun Oct 23 19:50:09 2016 -> ERROR: reload db failed: Malformed database
Sun Oct 23 19:50:09 2016 -> Terminating because of a fatal error.
Sun Oct 23 19:50:09 2016 -> Waiting for all threads to finish
Sun Oct 23 19:50:09 2016 -> Shutting down the main socket.
Sun Oct 23 19:50:09 2016 -> Pid file removed.
Sun Oct 23 19:50:09 2016 -> --- Stopped at Sun Oct 23 19:50:09 2016
Sun Oct 23 19:50:09 2016 -> Closing the main socket.
Sun Oct 23 19:50:09 2016 -> Socket file removed.


Кто виноват и что делать?


-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - jabber: grumbler@grumbler.org
 - email: stas.grumbler@gmail.com и stas@vashadmin.su
 - телефоны в Е-бурге +79045430461 и +79222112259

Re: [Comm] Ошибки clamav

[Sergey]

On Monday 24 October 2016, Stas wrote:

> Sun Oct 23 19:50:09 2016 -> ERROR: reload db failed: Malformed database
> Sun Oct 23 19:50:09 2016 -> Terminating because of a fatal error.
 
Какая версия ClamAV ? А то 
http://blog.clamav.net/2016/05/clamav-097-engine-end-of-life.html

Хотя в p7, вроде бы, не было 0.97

-- 
С уважением, Сергей.

Re: [Comm] Ошибки clamav

[Sergey]

On Wednesday 26 October 2016, Sergey wrote:

> > Sun Oct 23 19:50:09 2016 -> ERROR: reload db failed: Malformed database
> > Sun Oct 23 19:50:09 2016 -> Terminating because of a fatal error.
>  
> Какая версия ClamAV ? А то 
> http://blog.clamav.net/2016/05/clamav-097-engine-end-of-life.html

Лучше не лично, а в рассылку отвечать.

On Wednesday 26 October 2016, you wrote:

> > Какая версия ClamAV ? А то 
> > http://blog.clamav.net/2016/05/clamav-097-engine-end-of-life.html
> >
> > Хотя в p7, вроде бы, не было 0.97
> 
> clamav-0.99.2-alt0.M70P.1
> 
> clamav дважды перечитывает базу, сначала обнаруживает изменени файла,
> затем по сигналу от freshclam, и глючит IMHO от этого:
> пока что я отключил в freshclam.conf отправку сигнала для перезагрузки
> базы 

SelfCheck у clamd исполняется раз в 10 минут. Так что, в такой ситуации,
новая база не подхватится сразу. Хотя, с учётом проверки обновлений раз
в час, наверное, это не очень важно.

> /var/log/clamav/clamd.log:
> Wed Oct 26 15:50:07 2016 -> SelfCheck: Database modification detected.
> Forcing reload.
> Wed Oct 26 15:50:08 2016 -> Reading databases from /var/lib/clamav
> Wed Oct 26 15:50:18 2016 -> Database correctly reloaded (4998954 signatures)
> Wed Oct 26 15:50:19 2016 -> Reading databases from /var/lib/clamav

> Wed Oct 26 15:50:20 2016 -> ERROR: reload db failed: Malformed database

Сообщение Malformed database указывает на то, что база антивирусная
повреждена. По идее, такой ошибки не должно возникать ни при какой
частоте перечитывания баз. А запуск как происходит после этого ? 
Просто запускается, и всё ?

В любом случае, у меня не воспроизводится нигде, а стоит на более,
чем двух десятках серверов, часть с p7, часть с p8.

-- 
С уважением, Сергей.

Re: [Comm] Ошибки clamav

[Stas]

On 27.10.2016 13:24, Sergey wrote:
> On Wednesday 26 October 2016, Sergey wrote:
>
> Лучше не лично, а в рассылку отвечать.

Я отвечал кнопкой "reply" и удивился тогда, что ответ адресован и в
рассылку, и на ваш личный адрес.


> On Wednesday 26 October 2016, you wrote:
>> /var/log/clamav/clamd.log:
>> Wed Oct 26 15:50:07 2016 -> SelfCheck: Database modification detected.
>> Forcing reload.
>> Wed Oct 26 15:50:08 2016 -> Reading databases from /var/lib/clamav
>> Wed Oct 26 15:50:18 2016 -> Database correctly reloaded (4998954 signatures)
>> Wed Oct 26 15:50:19 2016 -> Reading databases from /var/lib/clamav
>> Wed Oct 26 15:50:20 2016 -> ERROR: reload db failed: Malformed database
> Сообщение Malformed database указывает на то, что база антивирусная
> повреждена. По идее, такой ошибки не должно возникать ни при какой
> частоте перечитывания баз. А запуск как происходит после этого ? 
> Просто запускается, и всё ?

Вот именно, что спокойно запускается. Если бы база действительно была
повреждена, я бы разбирался, почему так.

> В любом случае, у меня не воспроизводится нигде, а стоит на более,
> чем двух десятках серверов, часть с p7, часть с p8.

У меня на других серверах тоже не проявляется.

-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - jabber: grumbler@grumbler.org
 - email: stas.grumbler@gmail.com и stas@vashadmin.su
 - телефоны в Е-бурге +79045430461 и +79222112259

Re: [Comm] Ошибки clamav

[Sergey]

On Thursday 27 October 2016, Stas wrote:

> >> Wed Oct 26 15:50:08 2016 -> Reading databases from /var/lib/clamav
> >> Wed Oct 26 15:50:18 2016 -> Database correctly reloaded (4998954 signatures)
> >> Wed Oct 26 15:50:19 2016 -> Reading databases from /var/lib/clamav
> >> Wed Oct 26 15:50:20 2016 -> ERROR: reload db failed: Malformed database
> > Сообщение Malformed database указывает на то, что база антивирусная
> > повреждена. По идее, такой ошибки не должно возникать ни при какой
> > частоте перечитывания баз. А запуск как происходит после этого ? 
> > Просто запускается, и всё ?
> 
> Вот именно, что спокойно запускается.

Тогда разве что попадание этого SelfCheck и обновления на одно время,
действительно. Только вот таймер на SelfCheck в самом clamd и по времени
это не синхронизировано. По идее, если проблема в одновременности, то это
должно случаться не часто, так как первый же перезапуск должен это всё
рассинхронизировать. И наоборот, совпадение должно и в других случаях
происходить рано или поздно. Какова частота возникновения проблемы на
этом сервере ? И, на всякий случай, есть ли там возможность memtest
погонять ?


-- 
С уважением, Сергей.

Re: [Comm] Ошибки clamav

[Stas]

On 27.10.2016 16:47, Sergey wrote:
> On Thursday 27 October 2016, Stas wrote:
>
>>>> Wed Oct 26 15:50:08 2016 -> Reading databases from /var/lib/clamav
>>>> Wed Oct 26 15:50:18 2016 -> Database correctly reloaded (4998954 signatures)
>>>> Wed Oct 26 15:50:19 2016 -> Reading databases from /var/lib/clamav
>>>> Wed Oct 26 15:50:20 2016 -> ERROR: reload db failed: Malformed database
>>> Сообщение Malformed database указывает на то, что база антивирусная
>>> повреждена. По идее, такой ошибки не должно возникать ни при какой
>>> частоте перечитывания баз. А запуск как происходит после этого ? 
>>> Просто запускается, и всё ?
>> Вот именно, что спокойно запускается.
> Тогда разве что попадание этого SelfCheck и обновления на одно время,
> действительно. Только вот таймер на SelfCheck в самом clamd и по времени
> это не синхронизировано. По идее, если проблема в одновременности, то это
> должно случаться не часто, так как первый же перезапуск должен это всё
> рассинхронизировать. И наоборот, совпадение должно и в других случаях
> происходить рано или поздно. Какова частота возникновения проблемы на
> этом сервере ?

Два раза было за эту неделю.
>  И, на всякий случай, есть ли там возможность memtest
> погонять ?
В июле делали в рамках профилактики, вряд ли за это время испортилось.
Вот блок питания посмотрю при возможности.

-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - jabber: grumbler@grumbler.org
 - email: stas.grumbler@gmail.com и stas@vashadmin.su
 - телефоны в Е-бурге +79045430461 и +79222112259