Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ClamAv update error

21-03-2016, 14:55 door Anoniem, 29 reacties
Iemand ook opgevallen dat sinds de totale rebuild van de ClamAv Main.cvd de update van de virus signatures niet meer lukt?
Sinds de grote update van 17 maart blijft de update met errors hangen op die van 17 maart!
Is daar inmiddels een oplossing voor beschikbaar die ik misschien over het hoofd heb gezien?

http://blog.clamav.net/2016/03/clamav-signature-interface-maintenance.html
http://forum.ipfire.org/viewtopic.php?f=52&p=96105
Reacties (29)
21-03-2016, 17:39 door Anoniem
Ik ben al een tijdje van dit misbaksel afgestapt maar wellicht moet je de software updaten, dat staat bij ClamAv los
van de signature updates. Als je een install vanuit je distributie gedaan hebt dan moet je bidden dat de maintainers
een update uitbrengen. Heb je het zelf gecompileerd/geinstalleerd dan moet je dat opnieuw doen (en hopen dat
ClamAv niet een of andere zeikerige test heeft toegevoegd waardoor je toolset afgekeurd wordt en je niet meer kunt
compileren tot je dit uit hun configure script gesloopt hebt).

Echter beter is om het pakket gewoon te de-installeren. Het vindt toch nooit een echt virus dus alles wat je er van
hebt zijn false positives, en als je die aanmeldt doen ze daar niks mee.
21-03-2016, 17:45 door Anoniem
De Nederlandse mirror van de virusdatabase ligt er al een paar dagen uit. Even de Duitse of de UK mirror gebruiken.
21-03-2016, 18:36 door Anoniem
Weet je welke versie je momenteel hebt van main.cvd, daily.cvd en bytecode.cvd? (bestandsgrootte in bytes is ook goed)
En vanaf welk IP adres de download momenteel bij jou binnenkomt? Dit kan per keer verschillen namelijk.

Heb meerdere keren meegemaakt dat een virusdatabase downloadsite achter liep. Misschien is dat het probleem.
Doe hier downloaden van AV-database daarom liever handmatig, en kijk eerst of de bestanden wel nieuwer zijn dan wat ik heb, voordat ik ze in de "db" -folder plaats. En controleer vervolgens of ze geen problemen geven. (zoals veel FPs en zo)
Zo ja, dan zet ik de oude AV-rules terug.
21-03-2016, 23:49 door Anoniem
Door 17:45 Anoniem: De Nederlandse mirror van de virusdatabase ligt er al een paar dagen uit. Even de Duitse of de UK mirror gebruiken.
Ah, bedankt!
Ik zal er eens naar kijken / mee experimenteren.

Door 18:36 Anoniem: Weet je welke versie je momenteel hebt van main.cvd, daily.cvd en bytecode.cvd? (bestandsgrootte in bytes is ook goed)
En vanaf welk IP adres de download momenteel bij jou binnenkomt? Dit kan per keer verschillen namelijk.
De laatste was van 17 maart en dat was (zie bijgevoegde link) een dikkert (109mb?).
Heb het op diverse machines draaien vanaf diverse ip adressen, welke weet ik niet, dat is een uitzoekwerkje.

Door 17:39 Anoniem: Ik ben al een tijdje van dit misbaksel afgestapt maar wellicht ...
... Echter beter is om het pakket gewoon te de-installeren.

Het vindt toch nooit een echt virus dus alles wat je er van
hebt zijn false positives, en als je die aanmeldt doen ze daar niks mee.
Vermoeiend dit soort topic verpestende reacties, wat denk je dat je bereikt met eerst eroverheen plassen en dan nog adviezen in het 'luchtledige misschien' geven?
Geen lekkere binnenkomer en werkt dus ook niet, laat maar graag.

ClamAv vind wel degelijk virussen/malware,
op het ene soort OS systeem ongetwijfeld wat meer dan een ander. Reden waarom deze scanner populairder is op bepaalde OS-en dan andere.
Dat de detectie rate ook voor die andere OS-en nog wel wat omhoog kan ben ik met je eens, daar kan de community zelf ook aan bijdragen door gevonden malware te uploaden. Maar ja, het is niet altijd eenvoudig om malware te vinden die je wil hebben (voor uploaden dan).

Wat betreft false positives, een hele enkele keer (extra check op VT en klaar) en het ziet ernaar uit dat als dat wordt gemeld en (wederom) geüpload dat dat al binnen een dag wordt meegenomen.
Zie
https://www.security.nl/posting/464065/AV+False+positives

Enneh, ja hoe vaak hebben we last van virussen,
eigenlijk?
Valt sowieso misschien wel erg mee
https://www.security.nl/posting/387102/Virus+melding+%3A+hoe+vaak%3F

Wat niet meevalt is de zuigende systeembelasting van veel pakketten en de privacy policy die vaak om te huilen is (ga daar eens een boompje voor omwateren s.v.p. !)
Kan hier
https://www.security.nl/posting/462733/Anti+%28virus%29+Privacy

Anyway,
17:45 & 18:36 bedankt voor de reacties tot zover ;)

Ts
22-03-2016, 11:00 door Anoniem
"ClamAv vind wel degelijk virussen/malware"

Ik heb het een jaar of 10 gedraaid op een mailserver, duizenden en duizenden mails zijn er door heen gegaan, en het
heeft nooit een virus gedetecteerd wat in die mailserver niet al op een andere wijze geweigerd was.
SOMS wilde hij een stuk malware wel herkennen als je het een week later nog eens dezelfde mail liet scannen.
Wel heeft het een aantal keren false positives op HTML mail gehad. Die heb ik 3 keer gemeld en er is nooit wat mee
gedaan.

Wat mij betreft is het een nutteloos bootanker. Als je het anders ziet, gebruik hem gerust!
22-03-2016, 11:08 door Anoniem
Voor Puppy Linux is er een portable versie van ClamAv, helaas een oude, 98.3. Die is rond dezelfde tijd gestopt met updaten. De meeste mirrors geven meteen errors, of anders na het downloaden een foutmelding 'not synchronized'. Ik heb de portable versie opnieuw gedownload en wat blijkt: hij wordt - na errors voor een aantal mirrors - bijgewerkt tot de op een na nieuwste Main.cvd (iets met 55 in de bestandsnaam). Verder verschijnt een melding dat de virusdefinities meer dan 7 dagen oud zijn en je zo snel mogelijk moet bijwerken. Als ik dat probeer, dan krijg ik eerst weer errors voor een aantal mirrors en dan wordt een Main.cvd gedownload (iets met 56 in de naam), en dat eindigt steeds weer zonder succes met de 'not synchronized' melding. Het lijkt er dus op dat het - althans in mijn geval - niet lukt de nieuwste Main.cvd te dowloaden.
Ik heb nog geprobeerd de verschillende cvd's handmatig vanaf de ClamAv-site te downloaden en in de betreffende map te plakken. Maar als ik dan probeer te scannen, krijg ik meteen een foutmelding, iets in de trant van 'de database kan niet worden geverifieerd'.
22-03-2016, 15:44 door Anoniem
Door Anoniem: Voor Puppy Linux is er een portable versie van ClamAv, helaas een oude, 98.3.
Ik denk dat je dan eerst je software moet updaten.
Het is ook normaal bij ClamAV dat zodra er een minor upgrade is van de software, het ding meteen paniekmeldingen
gaat loggen dat je nu en wel meteen je software moet gaan updaten.
Er is geen mechanisme om dat automatisch te doen dus je moet dan hopen dat je distributie een nieuwere versie
heeft en anders moet je zelf aan de slag (dus eerst die van je distributie verwijderen en dan de source downloaden
en zelf configureren/compileren/installeren buiten het pakketbeheer om.
Wat natuurlijk weer gezeik geeft als je een mail scan module hebt die weer dependency heeft op clamav.

Nee, het is allemaal geen feest. Broddelwerk is een betere betiteling.
22-03-2016, 17:05 door Anoniem
Waarschijnlijk gewoon een kwestie van overbelasting van de servers: iedereen met ClamAV & ClamWin moet die knoepert van 109MB downloaden. Hierdoor lopen er waarschijnlijk veel downloadservers vast.
Deze main.cvd hoeft normaal immers bijna nooit te worden gedownload, omdat hij redelijk stabiel is.

Kies dus een downloadserver die relatief dichtbij is, met veel capaciteit. Dan heb je de meeste kans van slagen.
Je kan hem vastleggen in het configuratiebestand van ClamAV/ClamWin,
en/of in het hosts-bestand om hem naar een specifiek IP-adres (van de gewenste downloadserver) te laten verwijzen.

Of anders nog enkele dagen geduld hebben. Downloaden van die 109MB is eenmalig, en daarna duurt het weer
een jaartje of wat voordat er weer eens een update van die main.cvd komt.

Over een poosje is deze storm geweken, en dan werkt alles zelfs sneller dan je gewend bent.
Omdat nl. die daily.cvd die elke keer wordt gedownload nu nog maar nauwelijks meer dan 2MB is. (was ruim 40 MB...)

Goeroehoedjes
22-03-2016, 17:34 door Anoniem
Ik denk dat je dan eerst je software moet updaten.

Dank voor de uitleg, ik had er al zo'n vermoeden van, en bij gebrek aan een nieuwe versie voor Puppy Linux wordt het wachten of bij gelegenheid zelf knutselen. Geen feest inderdaad.
22-03-2016, 19:04 door Anoniem
@ 17:39 11:00 15:44

Dezelfde reageerder die besloten heeft hier het topic naar zijn hand te zetten en te blijven proberen de discussie om te buigen naar een anti ClamAv topic?
Hou er svp mee op, je gebruikt de software niet meer.
Ga je bezig houden met topics over zaken die je wel gebruikt.

Ts
22-03-2016, 23:57 door Anoniem
Ik heb nog geprobeerd de verschillende cvd's handmatig vanaf de ClamAv-site te downloaden en in de betreffende map te plakken. Maar als ik dan probeer te scannen, krijg ik meteen een foutmelding, iets in de trant van 'de database kan niet worden geverifieerd'.

Waarschijnlijk deed ik iets fout. Ik meen me nu te herinneren dat je na zo'n handmatige plak-actie eerst moet updaten voordat de cvd's herkend worden.
Vanavond heb ik daarom nog eens een poging gedaan om handmatig van de ClamAv-site te downloaden. Je krijgt er nu afwisselend 'Forbidden' of het laden blijft onvoltooid, dus het is inderdaad overbelasting, of je het nu vanuit het programma of handmatig van de site probeert. Een kwestie van geduld hebben dus.
23-03-2016, 20:53 door Anoniem
Vanavond heb ik daarom nog eens een poging gedaan om handmatig van de ClamAv-site te downloaden. Je krijgt er nu afwisselend 'Forbidden' of het laden blijft onvoltooid, dus het is inderdaad overbelasting, of je het nu vanuit het programma of handmatig van de site probeert. Een kwestie van geduld hebben dus.
Downloads liep bij mij daarnet als een tierelier. (van database.clamav.net)
Houdt er rekening mee dat database.clamav.net in de late uurtjes wel eens naar een server in U.S. kan gaan verwijzen,
en dat downloaden aan deze kant van de grote plas dan misschien niet meer zo voorspoedig gaat.
En vergeet ook niet om downloads van alle drie bestanden (main.cvd, daily.cvd en bytecode.cvd) te vervangen.
In elk geval main.cvd én daily.cvd. Die bestandsnamen moeten exact kloppen, en op .cvd eindigen.
Bij ClamWin nooit problemen mee. Nooit gehad ook.
Maar jij draait zo te horen vast wat linuxachtigs. Kan het bij jou ook een rechtenprobleem zijn als je handmatig toevoegt?
Anyway, misschien werkt bij jou intussen ook wel een update opgestart vanuit ClamAV.
24-03-2016, 12:22 door Anoniem
database.clamav.net is de fallback mirror die alleen aangesproken zou moeten worden indien de primaire mirror het laat afweten. Je kunt dan dus ofwel gaan zitten dns refreshen totdat de round-robin resolver achter database.clamav.net je naar een snelle mirror die niet overbelast is stuurt, of je zou tijdelijk de DE of UK mirror als primaire mirror kunnen instellen in plaats van de NL mirror, zoals ik in mijn post van 3 dagen geleden al schreef.
24-03-2016, 13:52 door Anoniem
Scanning engine & Dropped support

Het ziet er naar uit dat de volgende zaken aan de hand zijn:

1) Scanning engine

Met het rebuilden van de main.cvd is er vermoedelijk zoveel veranderd dat dat vermoedelijk gevolgen had voor het gebruik van de scanning engine.
Uit een testje blijkt dat met scanning engines van vòòr versie 0.99 geen virusdefinitie updates meer binnen zijn te halen.
Met een nieuwere scanning engine was/zijn er na de 17 maart change een update t/m 22 maart en inmiddels ook de latere updates binnen te halen.

De info onder deze link klopt dan naar mijn ervaring dus ook niet (meer) als het gaat om de ondersteunde scanning engine.
http://www.clamav.net/documents/end-of-life-policy-eol
Met scanning engine 0.98 (en ouder) is het geen updates meer binnenhalen, leerde het.

2) Dropped support voor oudere engines ('ineens')

Tot op heden werden oudere versies van scanning engines gewoon nog ondersteund.
Dat betekent dat je met deze versies gewoon virus definitie updates kon binnenhalen en was een voordeel bij oudere machines die noodgedwongen moesten blijven hangen op gebruik van een oudere scanning engine.
Dat is vanaf heden afgelopen, einde verhaal.
Door ineens de support voor oudere scanning engines te laten vallen laat ClamAV ook een deel van haar gebruikers groep vallen.

Gebruikers met oudere hard en software die een ClamAv gebaseerde scanner hadden draaien op basis van een oudere scanning engine (omdat het draaien van een nieuwere er niet meer in zat) kunnen per 17 maart fluiten naar het gebruik van ClamAv.

Dat is natuurlijk niet de grootste gebruikersgroep (en vooruitgang maakt altijd slachtoffers) maar ik vraag me af in hoeverre men dit heeft gerealiseerd. Maar goed, wellicht speelt dit niet onder Linux en technisch echt handige gebruikers.
Concreet betekent dat hier dat Clam(X)Av dus na jaren trouwe dienst van alle oude (hobby) machines vervangen gaat worden door iets (of niets).
Een AV scanner is niet de enige beveiligingslaag die te treffen valt (maar toch jammer).

Aan de vriendelijk bedoelde melding hebben sommigen dus helemaal niets.
"DON'T PANIC! Read http://www.clamav.net/support/faq"
Nope, not panicking, just leaving your product (partially).

Open source producten gebaseerd op ClamAV hadden het grote voordeel geen kopzorgen te creëren rondom ongewenste dataverzameling door AV leveranciers (mocht dat je interesse hebben, "and you should!").

3) Wat rest is nog een ander merkwaardig puntje.
De hoofdwebsite van ClamAv (http://www.clamav.net) blokkeert Torbrowser gebruikers volledig via de welbekende 'services' van Cloudflare terwijl het bezoeken van het blog http://blog.clamav.net dan weer geen enkel probleem is (?).
Verder is mij niet helemaal duidelijk hoe je ze vrij direct met feedback kan benaderen, tenminste, als je niet van plan bent onder verplichting van een social media account in te loggen op hun blog om een reactie te plaatsen, iemand een mailadres tip die ik over het hoofd heb gezien?


Afsluitend en samenvattend,
ik vermoed dat als je je scanning engine updatet naar de laatste versie de ClamAv scanner gewoon de updates weer kan blijven binnenhalen.

Groet,
Ts
24-03-2016, 14:46 door Anoniem
Het probleem met mijn ClamAv 98.3 scanner (portable versie in Puppy Linux) is opgelost, mits ik handmatig download. De ingebouwde updater werkt - zoals gemeld door Ts - inderdaad niet meer, maar handmatig downloaden van database.clamav.net wel. Dat dit bij mij eerst tot de melding 'Forbidden' leidde, kwam door de adblocker. Je moet zowel javascript als advertenties toestaan. Overigens verschenen er na het uitschakelen van de adblocker geen advertenties, maar het downloaden van de databases werd wel mogelijk.
Dus: wie niet kan/wil upgraden kan wellicht net als ik met handmatig updaten verder.
24-03-2016, 15:01 door Anoniem
Ik heb het een jaar of 10 gedraaid op een mailserver, duizenden en duizenden mails zijn er door heen gegaan, en het
heeft nooit een virus gedetecteerd wat in die mailserver niet al op een andere wijze geweigerd was.

Ik ben malware analyst, ik gebruik ClamAV regelmatig om malware samples te scannen, en heb totaal andere ervaringen.
24-03-2016, 15:23 door Anoniem
Dit al geprobeerd?

Stop the freshclam daemon if it’s running, delete both mirrors.dat and daily.cvd, and also main.dat
then restart the freshclam daemon. Freshclam will then download a new daily.cvd and main.cvd and will be up-to-date.

Goeroehoedjes
25-03-2016, 13:59 door Anoniem
Door Anoniem:
Ik heb het een jaar of 10 gedraaid op een mailserver, duizenden en duizenden mails zijn er door heen gegaan, en het
heeft nooit een virus gedetecteerd wat in die mailserver niet al op een andere wijze geweigerd was.

Ik ben malware analyst, ik gebruik ClamAV regelmatig om malware samples te scannen, en heb totaal andere ervaringen.

Dat zegt misschien iets over je samples,veel tests en real life ervaring leren mij ook dat clamav erg achter loopt.
Als je de mailinglist er op naslaat hoor je niks anders dan klachten over het niet tijdig reageren op gesubmitte samples.
Ze zeggen zelf ook dat ze te veel samples dagelijks binnen krijgen.

Hou je samples maar eens tegen VT, dan zie je dat clam erg vaak geen detectie doet op wat recentere malware samples.
29-03-2016, 20:40 door Anoniem
Door Anoniem: Dit al geprobeerd?

Stop the freshclam daemon if it’s running, delete both mirrors.dat and daily.cvd, and also main.dat
then restart the freshclam daemon. Freshclam will then download a new daily.cvd and main.cvd and will be up-to-date.

Goeroehoedjes
Inmiddels wel.

Dat lukte deels wel en deels niet.
De 'main.cvd' werd opnieuw binnengehaald alsmede de diverse 'daily.cvd's.

Na 24 maart is het over met de 'daily.cvd' pret.
Er wordt dan bij het zoeken naar updates nog steeds wel een lijst aan bestanden naar een tijdelijke directory geschreven.
Een hele lijst aan tijdelijke bestanden zichtbaar tijdens het update proces als deze

daily.wdb
daily.sfp
daily.pdb
daily.ndu
daily.ndb
daily.msu
daily.msb
daily.mdu
daily.mdb
daily.ldu
daily.ldb
daily.info
daily.ign2
daily.ign
daily.idb
daily.hsu
daily.hsb
daily.hdu
daily.hdb
daily.ftm
daily.fp
daily.crb
daily.cfg
daily.cdb
COPYING

die allen ieder weer een eigen categorie aan soorten definities bevatten maar kennelijk niet meer kunnen worden verwerkt en terug weggeschreven naar 1 centraal 'daily' bestand.
En het lijkt erop dat dat komt door het volgende.

De 'daily.cvd' blijkt niet meer te bestaan (!) en te zijn vervangen door een ander bestand met een andere bestandsstructuur getiteld 'daily.cld' .
Een bestand dus ook met een hele andere extensie die vermoedelijk alleen kan worden gelezen/verwerkt door de nieuwste ClamAv engine versie 99(.1) .

Het periodiek hernieuwd binnenhalen van de 'main.cvd' database zou wel nog kunnen maar als het 2 jaar duurde om die vanuit ClamAV bij te werken/te updaten is dat geen reële optie meer (kijk niet op een dag of week maar jaren zijn wat al te ruim).

Einde verhaal daarmee voor oudere engines en dus ook einde verhaal voor sommige oudere (nog steeds 'vaak' gebruikte) systemen waar vanaf nu geen enkel AV product (een antivirusscanner) meer voor beschikbaar is.

(By the way, nobody noticed & nobody cares...
en ik lig er verder ook niet wakker van, but some people actually should and could.
Sshh, mondje dicht verder, "Feind hört mit!")


Ciauwauwauwtjes
29-03-2016, 22:31 door Anoniem
@ Ciauwauwauwtjes
van: goeroehoedjes
in reactie op: 20:40 door Anoniem

Betwijfel het...
Maar ben misschien onvoldoende thuis in het type systeem dat jij draait om dit goed te kunnen beoordelen.
Ken ClamAV eigenlijk alleen een beetje van de windows versie: ClamWin.
Leuk voor oude machientjes om nog wat aan AV-scanning te doen.

Die daily.cld is niets nieuws. Bestond zo te zien al in het jaar 2014:
http://lists.clamav.net/pipermail/clamav-users/2014-July/000621.html

Net nog even geprobeerd: de daily.cvd (versie 28 maart; 2.209.427 bytes) gedownload met browser.
(van http://database.clamav.net/daily.cvd)
No problemo...
30-03-2016, 10:10 door Anoniem
Net nog even geprobeerd: de daily.cvd (versie 28 maart; 2.209.427 bytes) gedownload met browser.
(van http://database.clamav.net/daily.cvd)
No problemo...

Heel af en toe lukt het mij ook. Maar meestal krijg ik een website vol vreemde tekens, beginnend met de datum 24 maart. Nu ook. Op de 27ste heb ik nog een database daily.cvd gedownload van de 25ste, maar nu dus weer geen download en dat scherm vol vreemde tekens beginnend met de datum 24 maart. Af en toe krijg ik 'Forbidden' als reactie op een downloadpoging. Handmatig downloaden is voor mij een loterij geworden, zeker niet 'No problemo', helaas.
30-03-2016, 13:07 door Anoniem
Nogmaals, database.clamav.net is een fallback mirror. Daarachter zit een round robin resolver die iedere request om de beurt naar een van de nationale mirrors uit de mirror list stuurt. Als je database.clamav.net gebruikt word je dus met een willekeurige mirror ergens ter wereld verbonden en of zo'n willekeurige mirror nu echt snel of up to date is, is nog maar de vraag.

Gebruik dus een snelle mirror in de buurt,zolang db.nl.clamav.net down is, bv: http://db.uk.clamav.net/daily.cvd of http://db.de.clamav.net/daily.cvd

(Dit is nu de 3e keer dat ik deze informatie post.)
30-03-2016, 14:10 door Anoniem
Heel af en toe lukt het mij ook. Maar meestal krijg ik een website vol vreemde tekens, beginnend met de datum 24 maart. Nu ook. Op de 27ste heb ik nog een database daily.cvd gedownload van de 25ste, maar nu dus weer geen download en dat scherm vol vreemde tekens beginnend met de datum 24 maart. Af en toe krijg ik 'Forbidden' als reactie op een downloadpoging. Handmatig downloaden is voor mij een loterij geworden, zeker niet 'No problemo', helaas.
Pech... Maar het kan.
database.clamav.net verwijst niet altijd naar dezelfde server, en sommige servers hebben hun nukken.
Zit het IP-adres van één van de servers eenmaal in je lokale DNS-cache (kan zowel van router als O.S. zijn; ook browser als je die gebruikt voor het downloaden), en heeft deze downloadserver nukken zonder daarbij totaal onbereikbaar te zijn, dan krijg je het voorlopig ook niet voor elkaar totdat de DNS-cache wordt gewist (van O.S. én router én evt. browser), en als daarna de eerstvolgende DNS request van database.clamav.net het IP adres van een andere downloadserver oplevert.

Wat ik bedoel is dit soort nukken:
Soms is een server traag, werkt hij niet met downloaden via een browser, of werkt hij helemaal niet,
of de browser laadt daily.cvd als daily.txt.
In het laatste geval stroomt je scherm vol met vreemde tekens, en staat alleen aan het begin wat leesbare taal.
Bijvoorbeeld: "ClamAV-VDB:28 Mar 2016 15-45".

Oplossing: zoek een stabiele downloadserver uit, en voeg het IP adres toe aan je hosts bestand (waarschijnlijk /etc/hosts)
Je hostsbestand overruled dan het normale DNS systeem als zijnde een soort "priority DNS". Houdt er wel rekening mee dat het systeem dan niet meer een andere server zoekt op het moment dat dit systeem toch eens onbereikbaar zou zijn.
Of anders cache wissen van router (power cycle?) en OS (en evt. ook browser als je het via de browser binnenhaalt) en
daarna een nieuwe poging wagen. Veel kans dat je dan een andere downloadserver te pakken hebt.
Alternatief: je kan waarschijnlijk ook in het configuratiebestand "dbmirror = database.clamav.net" o.i.d. aanpassen naar een andere, betere en stabielere downloadserver, en na wissen van oude virusdefinitie bestanden (zie "24-03-2016, 15:23 door anoniem" en hieronder) vanuit ClamAV updaten.
Ik weet alleen niet zeker hoe dat configuratiebestand in jouw ClamAV precies heet. Het zal wel eindigen op ".conf". ;-)
Ik laat aan jou over welke methode(n) je kiest.

En let bij downloaden van virusdefiniebestanden met een browser even op dat je soms de default extensie ".txt" even moet wijzigen in ".cvd". Dan krijg je niet meer die gekke tekens op je scherm, maar krijg je keurig het .cvd bestand binnen.
(gebruik hierbij de "save as" optie)

Nog een hint: ik las in http://www.gossamer-threads.com/lists/clamav/users/57642 dat het ook wel eens nodig kan zijn om main.cld (dus niet de .cvd maar .cld) te verwijderen en dan de boel opnieuw binnen te halen.
Dat ontbrak in mijn bericht van 24-03-2016, 15:23.
Lijkt me nog wel een poging waard?...

Goeroehoedjes
30-03-2016, 15:54 door Anoniem
Door Anoniem: Nogmaals, database.clamav.net is een fallback mirror. Daarachter zit een round robin resolver die iedere request om de beurt naar een van de nationale mirrors uit de mirror list stuurt. Als je database.clamav.net gebruikt word je dus met een willekeurige mirror ergens ter wereld verbonden en of zo'n willekeurige mirror nu echt snel of up to date is, is nog maar de vraag.

Gebruik dus een snelle mirror in de buurt,zolang db.nl.clamav.net down is, bv: http://db.uk.clamav.net/daily.cvd of http://db.de.clamav.net/daily.cvd

(Dit is nu de 3e keer dat ik deze informatie post.)

Dank voor het geduldig herhalen, Anoniem van 13.07 en de uitleg Anoniem van 14.10! Met deze mirrors in de buurt werkt het inderdaad prima.
30-03-2016, 19:32 door Anoniem
Ts hier

Opmerkingen naar aanleiding van diverse reacties vandaag en gisteren.

•) @Goeroehoedjes

No problemo? : Inderdaad no problemo
Ik heb je (mij nog onbekende) link (van http://database.clamav.net/daily.cvd) geprobeerd en de gedownloade "daily.cvd" op een machine uitgeprobeerd met een ClamAv engine 0.97.8 en het bestand in de gebruikelijke root directory van ClamAv geplaatst
Dat werkte inderdaad, ik zie nu een vermelding van een datum van vandaag staan en ook een test met een "Eicar" test-file lukte.

•) Rare tekens? Geeft niets!

Soms wel en soms geen automatische download op de link van " http://database.clamav.net/daily.cvd " ervaar ik ook.
Opmerkelijk is dat hoewel " clamav.net " volledig captcha geblokkeerd wordt met de welbekende Cloudflare 'services' dat niet geldt voor de download link (?).

Echter ervaar ik inderdaad die code weergave dus soms wel en soms niet (met Torbrowser kan je makkelijk van ip adres wisselen door een ander Torcircuit te kiezen) in plaats van altijd een automatische download.
Dit geeft echter niets (code weergave) want als je vervolgens de pagina opslaat slaan het gewoon het "daily.cvd" bestand op als "daily.cvd".

Ik heb (als test) de "daily.cvd" gedownload vanaf 4 verschillende ip adressen (exitnodes) waarvan 1 keer door de pagina geheel op te slaan vanwege een code weergave in plaats van een download.
No problemo.

Daarna heb ik de shasums van de gedownloade bestanden vergeleken en die waren alle 4 hetzelfde.
SHA512 daily.cvd (30 maart 2016)
849ab5328ff6b7bd449669d4b036db54c3be0f8fcdaae1ca5265c663fd7e9cc7081d1a47a86
adc26d86c6e0874ea704a8f1924b03eadc7875f69b5a8344e1640

Ten overvloede, dus wanneer onder de download link de code van het bestand wordt weergegeven door de browser blijft de url met de extensie .cvd geheel intact en is niet vervangen door een .txt-extensie!

•) Diverse nationale Mirrors, Http (-s!) en (co.)uk-domeinen

@ 13.07 bedankt voor de nuttige nu wel meer concrete aanvulling in de vorm van een link, iets wat je eerder niet deed.
Tenminste, het is onduidelijk welke eerdere berichten van jou waren (anoniem), bij de verwijzing naar "database.clamav.net" krijg ik alleen forbidden messages (dat schiet niet op), reden om vervolgens aan de slag te gaan met de tips van Goeroehoedjes.

Daarnaast had ik nog geen zin om op een gerelateerd (belangrijk) deelpunt in te gaan omdat dat waarschijnlijk een andere discussie zou opleveren die zou afleiden in het topic.
Een discussie die ik nu wel kan aangaan omdat het aanvankelijke probleem lijkt te zijn verholpen; Namelijk de beoordeling van mirrors en de integriteit van de data.

Een intrinsieke en mijns inziens mogelijke zwakte die ik niet geheel kan overzien is het volgende : de integriteit van je downloads!
(Daarbij heb ik (nog) geen lijst gevonden en beschikbaar van beschikbare mirrors voor het downloaden van ClamAv definities, maar als jij je wel hebt dan heel graag.)

De ClamAV downloads worden namelijk aangeboden over HTTP (!).
Een ideale omstandigheid voor MitM-er's om de definitielijst wat naar eigen wensen aan te passen door bijvoorbeeld bepaalde definities van de lijst te verwijderen.
Controleer jij dat?

In het verleden is er al sprake geweest van twijfel of AV aanbieders op aanvraag bepaalde (overheids)malware op verzoek niet detecteren.
Daar is zelfs een (NL) enquete over geweest met een nogal lage respons met ontkenningen.

Dus, wanneer je je definities over http aanbiedt is het voor 'aanvallers' (breed zien) eenvoudiger om niet de scanners te targeten maar om 'gewoon' de definitielijsten aan te passen onderweg!
Of dat zomaar kan en gebeurt weten we niet, http verkeer is daarvoor wel een geschikt.

Wat ik wel weet is dat het zelfverklaarde Grote Rijk aan de overkant van ons kanaaltje het hele (voorbijkomende lokale) internet tapt, scant en MitM 'beheert'.
Daarom zal ik nooit en te nimmer meer iets downloaden over http dat afkomstig is van onze westerburen (wat mij betreft een apart topic waard[/).
Simpelweg omdat de integriteit van het internet (+data over http) van de eilanden aan onze westerzijde volstrekt niet meer gegarandeerd is!

Een mirror voor software over http gelegen in een domein waar de overheid het hele (lokale) internet in haar macht heeft laat ik daarom bij voorkeur links liggen.
Dat kan een CN domein zijn maar is wat mij betreft zeker dus ook het co.uk domein.
Machiavelli is aan de overkant heer en meester in de surveillance breinen met het heersen over het digitale domein (de Vs was er volgens Snowden jaloers op).
Exit.

Reden dus dat ik eerst even niet op zoek gegaan ben (na de meer praktische tip van Goeroehoedjes) naar de de link van de co.uk mirror, maar als gezegd nogmaals, als er ergens een lijst met alle ClamAv mirrors beschikbaar is heel graag.
Dan zal ik (als dat het geval is) voortaan steeds meerdere malen vanaf verschillende mirrors handmatig de "daily.cvd" downloaden om vervolgens de shasums van de downloads onderling te vergelijken.

Evengoed en ook nogmaals voor je (meerdere reacties als onbekende niet te filteren anoniem).

•) "Leuk voor oude machientjes om nog wat aan AV-scanning te doen."

Precies, al komt het over het algemeen (voor mij) neer op een service voor Windows gebruikers dan dat er niet-Windows virussen gevonden worden.
Al heb ik detectie wel eens bij de hand gehad bij bewust verzamelde niet-Windows malware.

•) DNS cache wissen

Dat doe ik al met enige regelmaat en dat bood geen uitkomst voor het
End-of-life-scanning engine probleem.

Ik ga er nog steeds vanuit dat dit het probleem is.
Gebruik van een scanning engine 99 genereert bij mij namelijk geen "daily.cvd" meer maar alleen een "daily.cld" (geen daily.cvd in de root directory meer te vinden).

Bij een ouder systeem met een oudere scanning engine 97 beet de scanner haar tanden stuk op het ontbreken van een "daily.cvd" met in plaats daarvan een daily.cld".
Dat gaf een error melding en de wens tot het opnieuw binnen halen van een daily.cvd die dus niet verder kwam dan een 24 maart versie.

Hoe het ook zij, de automatische update zit er met een oudere scanning engine dan 99 niet meer in maar handmatig binnenhalen van een "daily.cvd" (geen ".cld") en plaatsen helpt wel (voor zolang het duurt).

•) Tot slot en (ook) nogmaals

Gebruik van de ClamAV engine met definities is qua detectie zeker niet zaligmakend vanwege een gemiddelde detectie ratio rond de 70 en 75 %.
Binnen een defense model dat uit meerdere methoden bestaat en voor een niet-Windows systeem acht ik deze scanner goed genoeg voor erbij (in plaats van niets).


Dank nogmaals voor alle constructieve reacties!
Ts.
;)
31-03-2016, 00:18 door Anoniem
Hoe het ook zij, de automatische update zit er met een oudere scanning engine dan 99 niet meer in maar handmatig binnenhalen van een "daily.cvd" (geen ".cld") en plaatsen helpt wel (voor zolang het duurt).
Aha. Juist ja. Waarvan akte... ;-)
Nog enkele opmerkingen:

Wel is het zo dat de Windows versie (ClamWin, nieuwste versie momenteel 0.99)
volgens mij alleen maar gebruik maakt van de main.cvd, daily.cvd en bytecode.cvd definities.
Dat kan natuurlijk eens veranderen, maar tot nu toe ben in nooit iets anders tegengekomen.
Afijn, de tijd zal het leren of die .cvd's in de nabije toekomst opgedoekt zullen worden of niet.

Downloaden van virusdefinities via http gebeurt wel vaker bij AV produkten. (normaalgesproken sneller!).
Wat dan van belang is, is of het bestand een digitale handtekening heeft die na binnenhalen goed wordt gecontroleerd door de AV-software. (No problemo in dat geval)
Maar ik meen dat deze digitale handtekening bij de ClamAV virusdefinitie downloads ontbreekt, dus lijkt inderdaad een risico i.v.m. MITM tenzij er nog een ander verborgen verificatie mechanisme is ingebouwd.

Die andere kant van het kanaaltje kan ook wel eens gewoon heel erg traag zijn of stokken (local customers served first)

Voor wat betreft die "rare tekens": in windows heb ik wél eens meegemaakt dat het .cvd -bestand (onder bepaalde omstandigheden?) als een .txt werd opgeslagen. Beetje voorzichtigheid en opletten kan geen kwaad. ;-)

En bedankt weer voor je uitvoerige feedback. :-)
"considering case closed",

Goeroehoedjes
31-03-2016, 13:06 door Anoniem
Volgens mij zijn https verbindingen een beetje problematisch doordat ervoor gekozen is om alle mirrors in het clamav.net domein te hangen. Daardoor zou iedereen die een mirror draait de beschikking moeten krijgen over een certificaat voor een host in het clamav.net domein en dat is pas echt vragen om problemen.

Als je materiaal van een mirror downloadt zul je de mirror moeten vertrouwen en als je dat niet doet bieden ssl verbindingen geen soelaas. Checksums van het via de mirror gedownloade vergelijken met checksums die op de originele bronsite worden aangeboden is dan veel effectiever (en die originele site heeft dus wel echt baat bij een ssl verbinding).

(De 3x uk & de mirror poster.)
31-03-2016, 20:00 door Anoniem
Daardoor zou iedereen die een mirror draait de beschikking moeten krijgen over een certificaat voor een host in het clamav.net domein en dat is pas echt vragen om problemen.
Het zou er inderdaad niet gemakkelijker op worden.
In iedere geval zal het centrale team dat de mirrors voedt
maatregelen moeten treffen om de private key van het certificaat geheim te houden.
Https met uitgelekte private keys heeft uiteraard geen zin.

Checksums van het via de mirror gedownloade vergelijken met checksums die op de originele bronsite worden aangeboden is dan veel effectiever (en die originele site heeft dus wel echt baat bij een ssl verbinding).
Zou kunnen ja.
Is er ook ergens op het internet gedocumenteerd hoe dit precies gebeurt i.g.v. ClamAV?
Wat ik in ieder geval heb kunnen ontdekken, is dat er gebruik wordt gemaakt van sigtool
om o.a. *.cvd virusdatabases te packen/unpacken. Of dit een groot probleem zou zijn voor eventuele MITM-ers
overzie ik niet zo snel. Ik denk dat ik nog wat details mis om te kunnen bekijken of deze methode veilig uitpakt.
(bijv. http://resources.infosecinstitute.com/open-source-antivirus-clamav/:
The CVD is a ClamAV Virus Database archive that contains various files.
We can unpack the CVD file with the sigtool command: # sigtool --unpack main.cvd
)

Interessant om te lezen gelet op de problematiek van Ts was ook nog dit:
* The last CVD update crashed my ClamAV installation. Why?

Before publishing a CVD update, we verify that it can be correctly loaded by the last two stable release series of ClamAV.
(bron: https://github.com/vrtadmin/clamav-faq/blob/master/faq/faq-cvd.md)

ClamAV-versies die ouder zijn dan de twee voorgaande versies zijn blijkbaar sowieso niet gegarandeerd van
een goede werking met de allernieuwste .cvd definities, en tijdens de overgang kunnen er wat "strubbelingen" zijn.

Goeroehoedjes
31-03-2016, 23:03 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.