Mails werden nicht verarbeitet clamav error

  • readproctitle service errors: ...4ce66c6ae71aac6736356ecf9aa8.tmp/clamav-eccff1b0d1d986241a11346d32f225e4.tmp: Too many open files LibClamAV Warning: fileblobScan, fullname == NULL LibClamAV Error: fileblobDestroy: textportion not saved: report to http://bugs.clamav.net /var/qmail/simscan/1516957682.890442.7056/msg.1516957682.890442.7056: Can't open file or directory ERROR tcpserver: end 7051 status 0 tcpserver: status: 2/100


    y: textportion not saved: report to http://bugs.clamav.net /var/qmail/simscan/1516957953.840941.11181/msg.1516957953.840941.11181: Can't open file or directory ERROR LibClamAV Error: cli_gentempfd: Can't create temporary file /tmp/clamav-f9899ab386b96eaf13190508f89c325d.tmp: Too many open files /var/qmail/simscan/1516957953.840941.11181/addr.1516957953.840941.11181: Can't create new file ERROR



    auf allen servern haben wir genau das problem seit heute

  • Mit dem folgenden Skript kann clamd vorerst ganz deaktiviert werden:

  • Danke.
    Aber bei der letzten größeren ClamAV Lücke hab ich genau das bei zehn Servern gemacht, und 10 Minuten später haben Sie eine neue Serverumgebung publiziert ;-)


    Ohne Stress machen zu wollen, vielleicht könnten Sie in etwa sagen wann mit einem Update zu rechnen ist, damit dies entsprechend abgewägt werden kann.

  • Wir sollten hier in dem Beitrag die beiden Themen trennen, sonst blickt irgendwann niemand mehr durch...


    Ursprung war die Frage wie man das Signatur-Problem lösen kann.
    Das sollten wir in dem Post vorranging behandeln.


    Gerne in einem zweiten wie man mit dem Update von ClamAV verfährt und ob man derweil das abschalten kann oder will, unabhängig davon das die signaturen wieder gehen.


    Mein Anliegen in dem Post ist ja eher zu wissen ob mit einer neuen daily von clamav auch das problem gelöst sein könnte und man dann wieder mit normalen Rechten und dem freshclam arbeiten kann... Woran würde man erkennen ob es eine korrigierte signatur ist die ausgeliefert wird?


    so wie ich das bei clamav-users lese ist ja im Signaturfile was falsch oder defekt oder sonst irgendwas.


    Don't go that way. It's much better to add the signature
    Vbs.Downloader.Generic-6431223-0 which is causing the problem to
    the ignore list (file local.ign2) so that ClamAV stops using it.



    http://lists.clamav.net/piperm…/2018-January/005747.html
    http://blog.clamav.net/2018/01…le-descriptors-issue.html


    Update on the recent "File Descriptors" issue in ClamAV
    A signature introduced in daily.cvd version 24256 triggered bug that exists in all current stable releases of ClamAV.


    The symptoms on a Linux/Unix machine running clamd under heavy load results in the system running out of file descriptors, because the file descriptors for deleted temp files were not being closed. On Windows systems, a different error occurred wherein the system reported “permission denied” errors when closing (unlinking) the temp files.


    The bug was reported as early as April 2016 here: https://bugzilla.clamav.net/show_bug.cgi?id=11549. A patch for this bug was applied towards the upcoming 0.100.0 feature release of ClamAV, but unfortunately the fix didn’t make it into the recent 0.99.3 security patch release.


    For the time-being, the offending signature was pulled as of daily.cvd version 24258, and changes to our backend processes have been implemented to prevent this from happening again.


    We apologize for the inconvenience this has caused. Future releases of ClamAV will have a fix in place to prevent this issue from reocurring.


    --
    Joel Esler | Talos: Manager | jesler at cisco.com<mailto:jesler at cisco.com>

  • Hätte man eigentlich auch mit der Ignore-List arbeiten können?
    Wird die von PD-Admin unterstützt?


    How do I ignore/whitelist a ClamAV signature?
    Creating a ignore/whitelist file >Change Directory into the location where your ClamAV databases are stored. Create a file called “whitelist.ign2”, for example, like this:
    touch whitelist.ign2


    Wenn ja, muss das in das Verzeichnis wo daily, etc drin ist?


    Denn eine Workarounds hatten empfohlen darin einen Eintrag zu machen.

  • Die fehlerhafte Regel, die zu dem Bug führte, wurde aus ClamAV entfernt ganz kurz nachdem überhaupt bekannt wurde welche genaue Regel es ist.
    Es gab somit einen Zeitrahmen von wenigen Minuten in denen die Ignore Liste eine Möglichkeit war. Inzwischen hilft dafür auch ein erneutes Update der Regeln. Dann ist sie eh draußen.


    Auf jeden Fall sollte aber die aktuelle SEU installiert werden um die Sicherheitsprobleme von Clam zu fixen.