はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 質問掲示板

 このスレッドはクローズされています。記事の閲覧のみとなります。

 メールウイルス検出・駆除されない
日時: 2008/09/30 20:05
名前: 新米

1.不明点・障害内容:
2.ログの有無   :
  (有:その内容) :
3.Distribution  :
      Version :CentOS 5.2
4.Service Name  :
      Version :
5.ネットワーク構成:

いつもすみません。

やっとのことでメールサーバーpostfixを構築できたのでここを参考にして
メールウイルス検出・駆除(amavisd-new)を導入してみました

その後「eicarのテストウイルス」をメールアドレス宛に送ったのですが
サーバのログ「/var/log/maillog」にはウィルス検出したメッセージがありませんでした
でもスパムメールはちゃんと「Blocked SPAM,」とありました

なぜウイルスが検出されないのかわかりません
アンチウィルスソフトの導入(Clam AntiVirus)の導入は済んでいます

maillogを貼りますのでこれでなにか原因が分かるのでしょうか?
どうぞよろしく。

Sep 30 19:12:40 abcd postfix/smtpd[3522]: disconnect from mx.securesystems.co.jp[***.***.***.***]
Sep 30 19:12:40 abcd postfix/qmgr[3510]: 333128BDF56: from=<eicar@securesystems.co.jp>, size=1912, nrcpt=1 (queue active)
Sep 30 19:12:40 abcd amavis[3449]: (03449-01) (!!)WARN: all primary virus scanners failed, considering backups
Sep 30 19:12:55 abcd dovecot: pop3-login: Login: user=<shinmai>, method=PLAIN, rip=***.***.**.**, lip=192.168.11.3
Sep 30 19:12:56 abcd dovecot: POP3(shinmai): Disconnected: Logged out top=0/0, retr=0/0, del=1/11, size=77162
Sep 30 19:12:56 abcd postfix/smtpd[3534]: connect from abcd.fam.cx[127.0.0.1]
Sep 30 19:12:56 abcd postfix/smtpd[3534]: E7E048BDF59: client=abcd.fam.cx[127.0.0.1]
Sep 30 19:12:56 abcd postfix/cleanup[3527]: E7E048BDF59: message-id=<20080930100928.B8C43D8527@eicar.securesystems.co.jp>
Sep 30 19:12:56 abcd postfix/qmgr[3510]: E7E048BDF59: from=<eicar@securesystems.co.jp>, size=2491, nrcpt=1 (queue active)
Sep 30 19:12:56 abcd amavis[3449]: (03449-01) Passed CLEAN, [***.***.***.***] [***.***.***.***] <eicar@securesystems.co.jp> -> <shinmai@abcd.fam.cx>, Message-ID: <20080930100928.B8C43D8527@eicar.securesystems.co.jp>, mail_id: avgFZMQ2w-Gy, Hits: 2.782, size: 1912, queued_as: E7E048BDF59, 16605 ms
Sep 30 19:12:57 abcd postfix/smtp[3528]: 333128BDF56: to=<shimai@abcd.fam.cx>, relay=127.0.0.1[127.0.0.1]:10024, delay=17, delays=0.08/0.09/0.01/17, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as E7E048BDF59)
Sep 30 19:12:57 abcd postfix/smtpd[3534]: disconnect from abcd.fam.cx[127.0.0.1]
Sep 30 19:12:57 abcd postfix/qmgr[3510]: 333128BDF56: removed
Sep 30 19:12:57 abcd postfix/local[3535]: E7E048BDF59: to=<shimsi@abcd.fam.cx>, relay=local, delay=0.2, delays=0.01/0.1/0/0.09, dsn=2.0.0, status=sent (delivered to maildir)
Sep 30 19:12:57 abcd postfix/qmgr[3510]: E7E048BDF59: removed
Sep 30 19:16:00 abcd postfix/anvil[3525]: statistics: max connection rate 3/60s for (smtp:***.***.***.***) at Sep 30 19:12:40
Sep 30 19:16:00 abcd postfix/anvil[3525]: statistics: max connection count 1 for (smtp:***.***.***.***) at Sep 30 19:12:39
Sep 30 19:16:00 abcd postfix/anvil[3525]: statistics: max cache size 1 at Sep 30 19:12:39
メンテ

Page:  [1] [2] [3] [4] [5]

■ コンテンツ関連情報

 Re: メールウイルス検出・駆除されない ( No.11 )
日時: 2008/10/02 20:41
名前: ken@CentOS

あ、すみません。

環境が違いますね。

関係ないですが知らない間にバージョン0.94になってますね。

clamdはclamavのウイルススキャンエンジンです。

yum -y install clamav でインストールできるのはclamavだけですが yum -y install clamdを実行すると
clamavとclamdをインストールします。

そのままclamdだけインストールもできますが、一度clamavをremoveしてyum -y install clamdを
実行してみて下さい。clamavとclamdの0.94が入ると思います。

その後
#vi /etc/clamd.confで

LocalSocket /tmp/clamd.socket を

LocalSocket /var/run/clamav/clamd.sock に変更し

User clamav をコメントアウト

TCPSocket 3310 もコメントアウト

# /etc/rc.d/init.d/clamd start

# chkconfig clamd on

こちらのサイトと全く違いますが、ためしてガッテン!
メンテ
 Re: メールウイルス検出・駆除されない ( No.12 )
日時: 2008/10/02 21:15
名前: 新米

なんどもすみません。

clamavをremoveしてyum -y install clamdしました
下記は
# cat /var/log/clamav/clamd.logです。
最終項目にエラーが出ているのでしょうか? 

[root@abcd clamav]# cat clamd.log
Thu Oct 2 21:04:02 2008 -> +++ Started at Thu Oct 2 21:04:02 2008
Thu Oct 2 21:04:02 2008 -> clamd daemon 0.94 (OS: linux-gnu, ARCH: i386, CPU: i386)
Thu Oct 2 21:04:02 2008 -> Log file size limit disabled.
Thu Oct 2 21:04:02 2008 -> Reading databases from /var/clamav
Thu Oct 2 21:04:02 2008 -> Not loading PUA signatures.
Thu Oct 2 21:04:05 2008 -> Loaded 436390 signatures.
Thu Oct 2 21:04:05 2008 -> LOCAL: Unix socket file /var/run/clamav/clamd.sock 
Thu Oct 2 21:04:05 2008 -> LOCAL: Setting connection queue length to 30
Thu Oct 2 21:04:05 2008 -> Limits: Global size limit set to 104857600 bytes.
Thu Oct 2 21:04:05 2008 -> Limits: File size limit set to 26214400 bytes.
Thu Oct 2 21:04:05 2008 -> Limits: Recursion level limit set to 16.
Thu Oct 2 21:04:05 2008 -> Limits: Files limit set to 10000.
Thu Oct 2 21:04:05 2008 -> Archive support enabled.
Thu Oct 2 21:04:05 2008 -> Algorithmic detection enabled.
Thu Oct 2 21:04:05 2008 -> Portable Executable support enabled.
Thu Oct 2 21:04:05 2008 -> ELF support enabled.
Thu Oct 2 21:04:05 2008 -> Detection of broken executables enabled.
Thu Oct 2 21:04:05 2008 -> Mail files support enabled.
Thu Oct 2 21:04:05 2008 -> OLE2 support enabled.
Thu Oct 2 21:04:05 2008 -> PDF support disabled.
Thu Oct 2 21:04:05 2008 -> HTML support enabled.
Thu Oct 2 21:04:05 2008 -> Self checking every 1800 seconds.
Thu Oct 2 21:04:12 2008 -> +++ Started at Thu Oct 2 21:04:12 2008
Thu Oct 2 21:04:12 2008 -> clamd daemon 0.94 (OS: linux-gnu, ARCH: i386, CPU: i386)
Thu Oct 2 21:04:12 2008 -> Log file size limit disabled.
Thu Oct 2 21:04:12 2008 -> Reading databases from /var/clamav
Thu Oct 2 21:04:12 2008 -> Not loading PUA signatures.
Thu Oct 2 21:04:15 2008 -> Loaded 436390 signatures.
Thu Oct 2 21:04:15 2008 -> ERROR: LOCAL: Socket file /var/run/clamav/clamd.sock  is in use by another process.

これで明日また「テストウイルスを送信」して結果を見たいと思います。
今日はこれで寝ます。

またよろしくお願いします。
メンテ
 Re: メールウイルス検出・駆除されない ( No.13 )
日時: 2008/10/02 21:32
名前: ken@CentOS

以下を実行して下さい。

# chown -R clamav.clamav /var/run/clamav
メンテ
 Re: メールウイルス検出・駆除されない ( No.14 )
日時: 2008/10/03 05:55
名前: 新米

ken@CentOS今日もすみません。

>以下を実行して下さい。
># chown -R clamav.clamav /var/run/clamav

実行しました

まず、遅れましたが一応確認願います
# vi /etc/clamd.conf の設定

# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
LocalSocket /var/run/clamav/clamd.sock 

# TCP port address.
# Default: no
#TCPSocket 3310

# Run as another user (clamd must be started by root for this option to work)
# Default: don't drop privileges
#User clamav

今日の# cat /var/log/clamav/clamd.logです

[root@abcd ~]# cat /var/log/clamav/clamd.log
Thu Oct 2 21:04:02 2008 -> +++ Started at Thu Oct 2 21:04:02 2008
Thu Oct 2 21:04:02 2008 -> clamd daemon 0.94 (OS: linux-gnu, ARCH: i386, CPU: i386)
Thu Oct 2 21:04:02 2008 -> Log file size limit disabled.
Thu Oct 2 21:04:02 2008 -> Reading databases from /var/clamav
Thu Oct 2 21:04:02 2008 -> Not loading PUA signatures.
Thu Oct 2 21:04:05 2008 -> Loaded 436390 signatures.
Thu Oct 2 21:04:05 2008 -> LOCAL: Unix socket file /var/run/clamav/clamd.sock 
Thu Oct 2 21:04:05 2008 -> LOCAL: Setting connection queue length to 30
Thu Oct 2 21:04:05 2008 -> Limits: Global size limit set to 104857600 bytes.
Thu Oct 2 21:04:05 2008 -> Limits: File size limit set to 26214400 bytes.
Thu Oct 2 21:04:05 2008 -> Limits: Recursion level limit set to 16.
Thu Oct 2 21:04:05 2008 -> Limits: Files limit set to 10000.
Thu Oct 2 21:04:05 2008 -> Archive support enabled.
Thu Oct 2 21:04:05 2008 -> Algorithmic detection enabled.
Thu Oct 2 21:04:05 2008 -> Portable Executable support enabled.
Thu Oct 2 21:04:05 2008 -> ELF support enabled.
Thu Oct 2 21:04:05 2008 -> Detection of broken executables enabled.
Thu Oct 2 21:04:05 2008 -> Mail files support enabled.
Thu Oct 2 21:04:05 2008 -> OLE2 support enabled.
Thu Oct 2 21:04:05 2008 -> PDF support disabled.
Thu Oct 2 21:04:05 2008 -> HTML support enabled.
Thu Oct 2 21:04:05 2008 -> Self checking every 1800 seconds.
Thu Oct 2 21:04:12 2008 -> +++ Started at Thu Oct 2 21:04:12 2008
Thu Oct 2 21:04:12 2008 -> clamd daemon 0.94 (OS: linux-gnu, ARCH: i386, CPU: i386)
Thu Oct 2 21:04:12 2008 -> Log file size limit disabled.
Thu Oct 2 21:04:12 2008 -> Reading databases from /var/clamav
Thu Oct 2 21:04:12 2008 -> Not loading PUA signatures.
Thu Oct 2 21:04:15 2008 -> Loaded 436390 signatures.
Thu Oct 2 21:04:15 2008 -> ERROR: LOCAL: Socket file /var/run/clamav/clamd.sock  is in use by another process.
Fri Oct 3 04:02:12 2008 -> No stats for Database check - forcing reload
Fri Oct 3 04:02:12 2008 -> Reading databases from /var/clamav
Fri Oct 3 04:02:15 2008 -> Database correctly reloaded (436553 signatures)

まだエラーになってますね、なんでしょうね
ちょっと検索したら下記のサイトでこんな記述が有りました
http://www.kozupon.com/virus/clamav1.html

■ エラーその2

ERROR: Socket file /var/run/clamav/clamd.sock is in use by another process. Socket file removed.Pid file removed.

こやつの意味:
clamd.sockは、別のプロセスで使われています。

こやつの対策:
こんなエラーが有ったなら/var/run/clamav/clamd.sock のユーザとグループがclamavになってるか確認すること。

これって下記のところ??
# Run as another user (clamd must be started by root for this option to work)
# Default: don't drop privileges
#User clamav

あと気がついたのですが
#vi /etc/clamd.confでは
LocalSocket /tmp/clamd.socketを
LocalSocket /var/run/clamav/clamd.sockに変更しましたが

vi /etc/amavisd.confでは下記になっています
なのでそれぞれコメントにし#vi /etc/clamd.confの設定に合わせる必要があるのでしょうか?

# ### http://www.clamav.net/
# ['ClamAV-clamd',     
#  \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd"],←ここをclamd.sockにする??
#  qr/\bOK$/, qr/\bFOUND$/, 
#  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

なかなかむずかしいですね〜
またよろしくお願いします。






メンテ
 Re: メールウイルス検出・駆除されない ( No.15 )
日時: 2008/10/03 12:48
名前: ken@CentOS

ホントはこんな事しなくていいんですけど・・・

# chown -R clamav.clamav /var/run/clamav/clamd.sock

念のためサービスを再起動して下さい。

>vi /etc/amavisd.confでは下記になっています
>なのでそれぞれコメントにし#vi /etc/clamd.confの設定に合わせる必要があるのでしょうか?


># ### http://www.clamav.net/
># ['ClamAV-clamd',     
>#  \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd"],←ここをclamd.sockにする??
>#  qr/\bOK$/, qr/\bFOUND$/, 
>#  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],


この辺は触らなくていいです。
というか触ってもコメントアウトなので意味ないです。
メンテ

Page:  [1] [2] [3] [4] [5]

■ その他

ページ先頭へ

Copyright(©)2004-2018 First home server construction. All Right Reserved.