de:clamav-update

Table of Contents

Teil 1 - ClamAV-Update
- 1.3. ClamAV / HAVP

Copfilter - Update-Installation

Der Signaturen-Check für ClamAV

Teil 1 - ClamAV-Update

1.3. ClamAV / HAVP

Aktuell:
Die ClamAV-Versionen 0.99.3 (nur V2) und 0.99.4 (nur V2), speziell an den Copfilter, sowie an die IPCop-Versionen 1.4.x (V1) und 2.x (V2) angepaßt.

Wenn nicht anders beschrieben, sind HAPV und C-ICAP NICHT mehr enthalten.

Wichtiger Hinweis!

Aus: http://www.copfilter.org/forum/viewtopic.php?f=4&t=224&start=0

Diese Version benötigt mehr Performance/Arbeitsspeicher als die älteren Versionen.
Wenn die 3rd Party Signaturen aktiviert sind, werden für das System mindestens 1 GB RAM benötigt!
Die Signatur Datenbanken wachsen, neue Funktionen und Techniken für die Virenerkennung führen dazu, daß mehr Power benötigt wird.

Neuerungen:
Dieses Release beherrscht eine neue Malware Erkennung und weitere Neuerungen in der Scan Engine.
Neu ist der Bytecode Interpreter, Neuerungen in der heuristischen Erkennung und Verbesserungen der Signaturen.
Unterstützt werden neue Archive, neue ausführbare Dateiformate und unterstützt UPX 3.0.

Die Neuerung LLVM (Performance Verbesserungen) wird für den Copfilter leider nicht unterstützt, da die Libraries mittlerweile in die Jahre gekommen sind.

ClamAV-Homepage

http://www.clamav.net/

HAVP-Homepage

http://www.server-side.de/

Changelog

ClamAV-Changelog: https://github.com/vrtadmin/clamav-devel/blob/0.99.2/ChangeLog
HAVP-Changelog: http://www.server-side.de/

WICHTIG:

Diese Installations-Pakete aktualisieren außerdem je nach Bedarf die auf dem Zielsystem vorhandene HAVP und C-ICAP-Version.

Download

IPCop 1.4.x ONLY: V1-Logo

V1:	clamav_0.98.4_copfilter-v1-package.tgz	8.7 MB
MD5SUM:	093B19932A7D9AFC8848B70B71C03769

Seit der ClamAV Version 0.98.3 gibt es Probleme, wenn HAVP im Library Modus arbeitet (cannot allocate memory). Um das Problem zu lösen, wird in der HAVP GUI der “Library Modus” auf “off” gesetzt.

Das Update führt alle notwendigen Schritte automatisch aus und behebt zudem einen Fehler im havp Start Skript, welches den Library Modus nicht korrekt abgeschaltet hat. Zudem werden die notwendigen SSL Bibliotheken hinzugefügt, welche seit ClamAV 0.98.3 benötigt werden.

IPCop 1.9.x/2.x ONLY (Copfilter 2.0.91 / no longer supported!): V2-Logo

V2:	clamav_0.97.7_copfilter-2.0.91beta1-package.tgz	61.9 MB
MD5SUM:	87A07902641C54E030A6A9D9F346C5A9

Dieses Update aktualisiert außerdem C-ICAP auf die Version 0.2.5!

Bitte beachten: ClamAV 0.97 Engine End of Life Announcement

IPCop 1.9.x/2.x ONLY (Copfilter 2.0.91beta3/4): V2-Logo

V2:	clamav_0.98.1_copfilter-2.0.91beta4-package.tgz	6.9 MB
MD5SUM:	72B7EE292B2463356574378A47756372

Dieses Update aktualisiert außerdem C-ICAP auf die Version 0.2.5!

IPCop 2.x ONLY (Copfilter 2.1.92betaX): V2-Logo

V2:	clamav_0.98.4_copfilter_2.1.92betax.tgz	5.6 MB
MD5SUM:	019BFB52152900E41886C353CB6CC453

Dieses Update aktualisiert außerdem C-ICAP auf die Version 0.3.3!

Hinweis für HAVP Benutzer: Im Moment arbeitet HAVP wegen Änderungen in ClamAV nur noch im Socket Modus (library mode = off)!

IPCop 1.4.x ONLY: V1-Logo

V1:	clamav_0.98.7_copfilter.tar.gz	6.5 MB
MD5SUM:	049F588F295E57292A6C03923B774754

IPCop 2.x ONLY (Copfilter 2.1.93beta1): V2-Logo

V2:	clamav_0.98.7_copfilter-v2.tgz	4.9 MB
MD5SUM:	066B66339DA55A2C31FBB4777ADC52C0

IPCop 2.x ONLY (Copfilter 2.1.93beta1): V2-Logo

V2:	clamav_0.99-pack_copfilter-v2.tgz	5.8 MB
MD5SUM:	D185D9A2411509F0EBC8E76ECA658C70

Dieses Update aktualisiert außerdem C-ICAP auf die Version 0.4.2!

Foren-Info beachten: If you installed previous clamav-0.99 update package from Kare website, you need to reinstall it! Previous version of clamav 0.99 (02/12/2015 » 06/12/2015) was missing recompiled havp! If you already installed previous clamav update, please enforce reinstall!

IPCop 2.x ONLY (Copfilter 2.1.93beta1): V2-Logo

V2:	clamav_0.99.1-pack_copfilter-v2.tgz	5.8 MB
MD5SUM:	2F17EC4DF9A76A84ADFDC28993940183

Bugfix-Release. Dieses Update aktualisiert außerdem C-ICAP auf die Version 0.4.2 und HAVP auf die Version 0.92a!

IPCop 2.x ONLY (Copfilter 2.1.93beta1): V2-Logo

V2:	clamav_0.99.2-1-bundle_copfilter-v2.tgz	5.8 MB
MD5SUM:	6C647C090CE929D0809C7B1238D0EFC8

Bugfix-Release. Dieses Update aktualisiert außerdem C-ICAP auf die Version 0.4.4 und HAVP auf die Version 0.92a!

IPCop 2.x ONLY (Copfilter 2.1.93beta1): V2-Logo

V2:	clamav_0.99.3-bundle_copfilter-v2.tgz	6.17 MB
MD5SUM:	5BC70D2E797A6CDA79A5DEF88260BC69

Bugfix-Release. Dieses Update aktualisiert außerdem C-ICAP auf die Version 0.5.1 und HAVP auf die Version 0.92a!

IPCop 2.x ONLY (Copfilter 2.1.93beta1): V2-Logo

V2:	clamav_0.99.4_copfilter-v2.tar.gz	5 MB
MD5SUM:	6756C5E761A159902170BEEFCAAA317F

Installation

Die Installation verläuft - bis auf einen einzigen Unterschied - wie in Die Installation der Software-Archive beschrieben:

Das manuelle Löschen der Installationsdateien und der vorherigen ClamAV und HAVP-Versionen entfällt, sie werden nach einer Abfrage wahlweise gelöscht.

Anmerkungen

Im Anschluss an dieses Update sollten auf der Antivirus-Seite des Copfilters eine manuelle Aktualisierung der ClamAV-Signaturen angestoßen und auf der Status-Seite alle Dienste durchgestartet werden.
Zwar werden diese “Aktualisierungsstarts” schon durch das Installationsskript von karesmakro durchgeführt, um aber die Gesamtkonstellation der Copfilter-Komponenten in einen klar definierten Ausgangszustand zu versetzen, ist ein kompletter Copfilter-Neustart durchaus ratsam.
In der Datei '/var/log/copfilter/default/opt/clamav/etc/freshclam.conf' sollte der jeweilige Ländercode für den Download der Datenbank-Updates (unter Verwendung eines linux-konformen Editors) eingetragen werden: DatabaseMirror db.XY.clamav.net
Außerdem sollte man auf der Copfilter-Tests & Logs-Seite den Inhalt der diversen Log-Files überprüfen (besonders: 'clamd.log', 'havp_error.log', 'icap_server.log').

Downgrade

Ausgelöst durch: http://www.copfilter.org/forum/viewtopic.php?p=782#p782

Anmerkung

Etwaige Speicherprobleme können unter Umständen auch durch einen Modus-Wechsel des HAVP vom Library-Scanner zum Unix-(local)-Socket-Scanner behoben werden.

Wie dies zu bewerkstelligen ist, steht hier.

Für den Fall, dass man ClamAV 0.96.x auf einem IPCop mit nur 512 MB RAM trotz der obigen Warnungen installiert hat, wird unter Umständen ein Downgrade auf die 0.95.3 nötig.
Symptome: hohe Last bei RAM und Swap, sowie nach einiger Zeit z.B. kein Zugriff mehr auf die Weboberfläche (Verbindungsfehler).

Um dies etwas anschaulicher zu gestalten (Es sind zwar zwei verschiedene Cops, aber ich denke, es ist klar, was gemeint ist!):

Dienste (512 MB)	Dienste (1GB)

Speicherdiagramm (512 MB):	Speicherdiagramm (1 GB):

Swapdiagramm (512 MB):	Swapdiagramm (1 GB)

Ein Downgrade auf die Version 0.95.3 ist im Prinzip unkritisch, die EOL-Meldung von ClamAV bezieht sich ausdrücklich auf “All ClamAV releases older than 0.95…”, d.h. die 0.95.3 ist nach wie vor einsetzbar!

Vorgehensweise

Es gibt zwei Möglichkeiten:

Es wurde ein Upgrade auf die ClamAV-Version 0.96.x durchgeführt und die 0.95.3-Verzeichnisse wurden nicht gelöscht.
Es wurde ein Upgrade durchgeführt und die 0.95.3er-Verzeichnisse wurden gelöscht.

zu 1.: In diesem Fall ist ein Downgrade relativ simpel möglich.

Auf der Konsole oder mit einem geeigneten Client (ssh, hier: PuTTY, …) auf dem IPCop als 'root' einloggen und folgende Befehle initiieren:

ClamAV-Daemon stoppen:

copfilter_stopclamd

[ENTER]

Ausgabe:

root@DevelCop:~ # copfilter_stopclamd
ein HUP-Signal gesendet an monit
warte 1 Sekunde(n)
<BR>Waiting .
clamd abgebrochen <BR>
clamd laeuft nicht <BR>

ClamAV-0.96.x-Default-Symlink löschen, in Richtung Version 0.95.3 neu anlegen und die Rechte anpassen:

rm -R /var/log/copfilter/default/opt/clamav/default

[ENTER]

ln -s /var/log/copfilter/default/opt/clamav/0.95.3 /var/log/copfilter/default/opt/clamav/default

[ENTER]

chown -R clamav:clamav /var/log/copfilter/default/opt/clamav

[ENTER]

Die zur 0.95.3-Version inkompatible Bytecode-Signatur-Datei löschen (sonst gibts beim 0.95.3-Start Gemecker - das heißt, er schlägt fehl!):

rm /var/log/copfilter/default/opt/clamav/virdb/bytecode.*

[ENTER]

ClamAV-Daemon neu starten:

copfilter_startclamd

[ENTER]

Ausgabe:

root@DevelCop:~ # copfilter_startclamd
Clamav Debug-Modus deaktiviert <BR>
das Blocken verschluesselter Archive ist deaktiviert <BR>
<BR>
starte clamd <BR>
warte 1 Sekunde(n) <BR>
clamd laeuft mit PID 1083 1082 1081 <BR>

zu 2: Falls die alten Verzeichnisse der Vorgänger-Version gelöscht wurden, muss die ClamAV-Version 0.95.3 natürlich neu installiert werden.

Die Vorgehensweise hierfür entspricht der sonst üblichen Installationsprozedur und wird hier deshalb nicht in aller Ausführlichkeit, sondern nur in Stichworten beschrieben.

Man sollte allerdings vor dem Start der Neuinstallation die zur Version 0.95.3 inkompatible Bytecode-Signatur-Datei löschen, sonst schlägt der Start der Version 0.95.3 mit einer “malformed database”-Meldung fehl!

copfilter_stopclamd
rm /var/log/copfilter/default/opt/clamav/virdb/bytecode.*

[ENTER]

Erst jetzt wird die Neuinstallation gestartet:

cd /tmp
wget http://www.it-connect-unix.de/copfilter/clamav_0.95.3_copfilter.tar.gz
tar xzvf clamav_0.95.3_copfilter.tar.gz
md5sum clamav_0.95.3_copfilter.tar.gz
cd clamav_0.95.3_copfilter
./install

Konsequenzen

Der betroffene Rechner sollte schnellstmöglich auf - mindestens - 1 GB Arbeitsspeicher aufgerüstet werden.
Bis dahin sollte man sich nicht über entsprechende “This version of the ClamAV engine is outdated.”-Kommentare der Signatur-Updates wundern, die sind in diesem Fall leider völlig normal.
*** DON'T PANIC! Read http://www.clamav.net/support/faq ***
Nach erfolgter Aufrüstung kann die Version 0.96.x einfach neu installiert werden.

Copfilter - Update-Installation

Der Signaturen-Check für ClamAV

de/clamav-update.txt · Last modified: 2018/03/24 14:54 by fischerm