Seit gestern clamav false positives Win.Exploit.CVE_2019_0903-6966169-0

  • Bei uns heute morgen auch:


    /usr/local/pd-admin2/bin/freshclam

    ClamAV update process started at Mon May 27 07:46:54 2019

    main.cvd is up to date (version: 58, sigs: 4566249, f-level: 60, builder: sigmgr)

    daily.cld is up to date (version: 25461, sigs: 1581583, f-level: 63, builder: raynman)

    bytecode.cvd is up to date (version: 328, sigs: 94, f-level: 63, builder: neo)



    Diagnoseinformationen für Administratoren:
    Generierender Server: Server.KUNDENEXCHANGE.LOCAL
    Heinz.empfaenger@empfaenger.net
    server14.domain.de
    Remote Server returned '554 Your email was rejected because it contains the Win.Exploit.CVE_2019_0903-6966169-0 virus'

  • Tritt bei uns auf allen Servern auf. Ich habe jetzt überall die whitelist.ign2 Datei angelegt.

    In der Hoffnung das es dann geht. Echt ärgerlich.


    [Update]

    die whitelist.ign2 Datei im Verzeichnis /usr/local/pd-admin/shared/clamav bringt gar nichts.

    Die Mails werden trotzdem abgelehnt.


    [Update 2]

    Neuer Versuch: Clamd nochmal durchstartet svc -du /service/clamd

    Weiterer Hinweis:

    https://forum.directadmin.com/archive/index.php/t-57936.html

  • Ich hab inzwischen aufgegeben und clamav deaktiviert. Mir wurde es zuviel, Telefon hörte nicht mehr zu läuten auf. Da es ja nicht das erste mal ist, hab ich da schon scripte vorbereitet:


    clamav deaktieren:


    clamav wieder aktivieren:

  • Hm, nach expliziter Ausführung von freshclam und Erhalt der V 25462 macht er es nach Reaktivierung des ClamAV trotzdem nicht. Ich muss ClamAV weiterhin deaktiviert lassen. Hat jemand eine Idee zu "Nebeneffekten"?

  • Ich konnte gerade ohne Probleme eine Mail mit PDF im Anhang zuschicken. Signaturen Version ist ebenfalls 25462:

    War es auch sicher eine PDF Datei, die vorher geblockt wurde? Es sind (oder waren) nämlich definitiv nicht alle PDFs betroffen. Ich konnte leider nicht so recht eingrenzen woran es lag, aber der Großteil der PDFs ging durch. Ich weiß das so genau, weil gestern ein Kollege von mir im Rahmen einer Sonderschicht sehr viele PDFs (Druckabzüge) verschicken musste und von ca. 20 PDF Dateien wurden nur etwa vier geblockt.

  • Von der Schilderung her hatte ich den Eindruck, sämtliche Mails mit PDFs seien betroffen. Ich hatte bisher keinerlei Probleme. Als ich es heute getestet hatte, war die Signatur bereits aktualisiert und eine Testzustellung erfolgreich. Da zuvor bereits ein Erfolg mit aktualisierter Signatur vermeldet wurde, hatte ich dies ebenfalls bestätigt. Ich nahm an, das Problem sei somit behoben.


    Man bräuchte also einmal eine PDF, womit das Verhalten reproduzierbar ist.

  • Ich habe heute auf einer Maschine die whitelist wieder gelöscht und den clamav durchgestartet.

    Wenn ich bis mittag nichts verdächtiges mehr entdecke setze ich alle wieder zurück auf Normalzustand.