Muke po ClamAVu
Nedavno smo vas obavijestili da zbog određenih problema dolazi do skidanja djelomične, odnosno oštećene neslužbene baze potpisa antivirusnog programa ClamAV. Kao posljedica, bili su zaustavljani svi mailovi koji sadržavaju niz znakova "www.", što je, priznat ćete, mnogo poruka. Nisu svi bili zahvaćeni ovim problemom, jer nemaju svi iste inačice ClamAVa (postoji inačica iz standardnog i volatile repozitorija). Možemo pretpostaviti da neki nisu ni bili svjesni problema, jer im se korisnici nisu potužili.
Nažalost, problem još postoji, no sporadično. Moguće je da se radi o preopterećenju poslužitelja ili mreže. No, sada je problem manje izražen, jer skidanje potpisa "puca" na drugom mjestu i rezultat više nije tako katastrofalan. Pogledajmo:
# wget 'http://www.malware.com.br/cgi/submit?action=list_clamav' -O mbl.wget
--2012-03-14 22:04:14-- http://www.malware.com.br/cgi/submit?action=list_clamav
...
Length: unspecified [text/plain]
Saving to: `mbl.wget'
[ <=> ] 36,696 80.8K/s in 0.4s
2012-03-14 22:04:15 (80.8 KB/s) - `mbl.wget' saved [36696]
Možemo probati s nekim drugim latom, poput curl-a, ali rezultat će biti isti.
curl 'http://www.malware.com.br/cgi/submit?action=list_clamav' -o mbl.curl
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 36696 0 36696 0 0 23023 0 --:--:-- 0:00:01 --:--:-- 25430
Obje datoteke su velike 36696 bajtova, a trebale bi biti velike 256654 bajtova (ove vrijednosti su trenutne, kod vas mogu biti drugačije):
# ls -l /var/lib/clamav/mbl.ndb
-rw-r--r-- 1 clamav clamav 256654 Mar 15 00:23 /var/lib/clamav/mbl.ndb
Zadnji redak unutar nepotpunih datoteka nakon dekodiranja izgleda ovako:
# tail -1 mbl.curl | sigtool --decode-sigs
VIRUS NAME: MBL_210910
DECODED SIGNATURE:
down.ezenjoy
Puni potpis glasi "down.ezenjoy.com/2010_update_2/file/update", ali "skraćen" ovaj put nema takve posljedice kao što je to imao nesretni "www.". Kako bi spriječili daljnje probleme s ovim repozitorijem, možete postupiti po uputama u prethodno navedenom članku, ili instalirati paket clamav-unofficial-sigs. Paket se ne nalazi u standardnom repozitoriju za lenny, nego u repozitoriju backports. Kako lenny više nije aktualan, nećemo ni pokazivati kako dodati ovaj paket.
Lakši način je prijeći na squeeze. Ovdje samom instalacijom paketa clamav-cn dobijete i paket clamav-unofficial-sigs. Od tog trenutka više ne morate brinuti, jer ćete u slučaju oštećene baze mailom dobiti sljedeću poruku:
Subject: Cron <clamav@server> [ -x /usr/sbin/clamav-unofficial-sigs ] &&
/usr/sbin/clamav-unofficial-sigs
Clamscan reports Sanesecurity mbl.ndb database integrity tested BAD -
SKIPPING
Ostaje još samo da dečki sa www.malware.com.br poprave ovaj (sporadični) problem, kako bi svi mogli malo mirnije spavati.
Napomena: mbl.db je stariji oblik baze, a mbl.ndb je noviji, ali u suštini problem ostaje isti.
- Logirajte se za dodavanje komentara
- Inačica za ispis
- PDF version