SME 7.5 + Mise à jour ClamAV = "FreshClam : Update Failed"

[HP77]

Bonjour,

Voici don le genre d'e-mail que je reçois assez fréquemment sur mon compte admin :

Date: 19 Aug 2010 04:39:33 -0000 [08/19/2010 12:39:33 PM SGT]
From: anonymous@MonServeurCampus.Domaine
To: admin@MonServeurCampus.Domaine
Subject: freshclam: Update failed

2010-08-19 12:38:53.085445500 ClamAV update process started at Thu Aug 19 12:38:53 2010
2010-08-19 12:39:13.086706500 WARNING: Can't query current.cvd.clamav.net
2010-08-19 12:39:13.086776500 WARNING: Invalid DNS reply. Falling back to HTTP mode.
2010-08-19 12:39:13.087187500 Reading CVD header (main.cvd): ERROR: Can't get information about database.clamav.net: Name or service not known
2010-08-19 12:39:33.090530500 WARNING: Can't read main.cvd header from database.clamav.net (IP: )
2010-08-19 12:39:33.090774500 Giving up on database.clamav.net...
2010-08-19 12:39:33.090809500 Update failed. Your network may be down or none of the mirrors listed in /etc/freshclam.conf is working. Check http://www.clamav.net/support/mirror-problem for possible reasons.

A ce sujet, suis-je le seul à avoir cette "chance" ou bien cela concerne tous les heureux possesseurs de la "dernière" (en date) version de SME (i.e. 7.5) ?


D'autre part, j'ai plus de 300 Go de données (backups) sur ce serveur mais ClamAV semble traiter le tou en moins de 24 secondes !!

[mode humour(?)]
Il est super cet antivirus !
Il fait comme Norton "Antivirus" (rien du tout si je ne m'abuse) mais en plus rapide !
[/mode humour(?)]

Bon, j'ai bien envie de mettre mon nez là-dedans avant d'avoir un énorme problème vu ce qui pullule sur le réseau du campus car je doute qu'un petit Routeur "DIR-600" entre mon serveur (mode = "Private Server Only") et le réseau du campus me protège de tout, même si SME est sous Linux et, qu'a priori, il ne craint pas grand chose dans cet Enfer ouinedozien (ils ne jurent que par ça à Singapour) mais, bon, cette supostion n'est... qu'une supposition personnelle et non prouvée ni testée "scientifiquement".

En bref :
Si vous pouvez me guider un peu pour trouver le trou de la serrure où regarder, je devrais pouvoir me débrouiller un peu pour remédier à cet inconvénient si cela provient de ma machine et non pas du site Web de ClamAV ou d'un autre tiers...


Cordialement,
HP

[bethebeast]

Salut,

Le problème des miroirs arrive souvent, je dirais pas que c'est normal, mais ça arrive.

Ensuite, qu'est ce qui te fais dire que ClamAV scann la totalité de tes fichiers en quelques secondes ?

# Est ce que tu a activé le scannage dans le server-manager ?

(Si je dis pas de bêtises) : le fait d'activer cette option doit ralentir ton server, vu la vitesse de ton disque, non ?

Pour vérifier si ton server n'est pas infecté, tu peux utiliser clamscan avec les options kivonbien.

Tu peux aussi le mettre à jour manuellement avec freshclam.

Code: Tout sélectionner

# man

est ton ami

@+

[bethebeast]

J'ai oublié de préciser : si ta SME est derrière un proxy, il faudra peut-être ajuster le template de freshclam.

Je dis peut-être, car je ne suis pas sûr !

Si quelqu'un veut bien confirmer...

@+

[HP77]

Salut "The Beast",

Salut,

Le problème des miroirs arrive souvent, je dirais pas que c'est normal, mais ça arrive.

Ensuite, qu'est ce qui te fais dire que ClamAV scann la totalité de tes fichiers en quelques secondes ?

# Est ce que tu a activé le scannage dans le server-manager ?

(Si je dis pas de bêtises) : le fait d'activer cette option doit ralentir ton server, vu la vitesse de ton disque, non ?

Pour vérifier si ton server n'est pas infecté, tu peux utiliser clamscan avec les options kivonbien.

Tu peux aussi le mettre à jour manuellement avec freshclam.

Code: Tout sélectionner

# man

est ton ami

@+

Ok, je vais demander à mon ami Man un peu plus tard car j'ai un truc administratif urgent à traiter...

Autrement, je réponds sur la durée et les options du scan ClamAV :

- Scan = activé en hebdomadaire
- Durée = donnée par un e-mail en fin de boulot mais je crois que je me suis trompé avec mon serveur à la maison (même configuration OS + hardqare mais, "Server & Gateway"...) contenant "grosso-modo" 100-150 Go de données et souffrant du ClamFresh également donc, "repository", etc... semble bien metre à l'origine du problème rencontré.

Côté rapidité, on verra pour des disques plus rapides après validation par le "Cost Manager" (toujours souriant le gars mais comme presque tout ce qui vient du supermarché ou d'ailleurs, jamais 100% naturel... )
Mais, 5400 tr/min, ça fonctionne plutôt bien avec : ~ 100 Go/h en copie via "cp" entre un disque sur port USB et le serveur (SATA interne).

A++
HP_

[john56]

Bonjour, est ce quun a avancé sur ce topic.
En fait j'ai le même problème depuis plusieurs longues semaines.
Précision, sme passe par ipcop avant de sortir vers le web.

[jibe]

Salut,

Oui, je confirme : ces mails sont assez récurrents. Tant que ça rentre rapidement dans l'ordre, il n'y a pas lieu de s'affoler. Par contre si, comme pour john56 ça dure depuis des semaines, ce n'est pas normal.

[TROLL DU SIECLE]

Précision, sme passe par ipcop avant de sortir vers le web.

Ben évidemment ! Depuis le temps que je dis qu'il ne faut jamais faire ça...
[/TROLL DU SIECLE]
Bon, ça va que c'est toi ! Je pense que tu sais ce que tu fais.

Mais si tu le précises, c'est que tu as un doute sur ce point... Alors, je dirais qu'il faut vérifier ce qui a été fait juste avant que les mails soient apparus et pendant quelques jours après cette apparition (okazou les premiers mails aient eu l'origine "normale" habituelle) : modification des règles sur Ipcop, modification du câblage réseau etc. Si rien n'a été modifié, il y a peu de chance que le problème vienne de l'association maléfique SME+Ipcop

Essaie de voir si tu peux joindre l'adresse de mise à jour : ça a de fortes chances de te mettre sur la bonne piste

[HP77]

Bonjour,

Juste pour information:
- mon problème persiste mais ne m'empêche pas de faire "tourner" le serveur donc, ça traine...
- Le problème est apparu des les premiers jours d'utilisation de ce serveur (vers la mi-Juillet 2010) mais fût découvert que plus tard via l'accès au WebMail pour le compte admin...
- Quelques semaines plus tard, j'installais un petit routeur mais le problème était déjà manifeste.

Peux-on soupçonner un problème de routage, sachant que le serveur concerné est sur le réseau d'une "école" ?
(je ne vois pas comment si FreshClam utilise les ports conventionels habituels : 80, 443 voire 21 MAIS, cela, je n'en sais rien pour le moment, pas eu le temps de creuser (je devrais m'y remettre, tiens ! ))

Bon dimanche à vous.


Cordialement,
HP

[jdh]

Invalid DNS reply

Et la résolution DNS ?

Je sais bien que la doc SME mentionne que l'on a pas besoin de dns (?), mais en indiquant le dns du fai (ou le routeur) ...

[HP77]

Re-Bonjour,

Invalid DNS reply

Et la résolution DNS ?

Je sais bien que la doc SME mentionne que l'on a pas besoin de dns (?), mais en indiquant le dns du fai (ou le routeur) ...

Je viens de relire tout les messages du fil et je n'ai pas vu de "Invalid DNS reply" auparavant...

Bon, personnellement, je prends ça comme une suggestion mais, dans mon cas, j'ai aussi un serveur SME 7.5 à la "maison", fonctionnant en "Server & Gateway" (cette fois-ci) m'alertant ainsi sur FreshClam...
Juste pour info, ce serveur à la maison est placé dans la DMZ d'une "Box" qui colle l'@IP publique sur l'interface du serveur SME (via authentification DHCP basée sur l'adresse MAC de l'interface).

Bon, en bref, mon opinion est la suivante :
- soit je suis poisseux au point que rien ne fonctionne sans avoir tripoté la configuration de routage, etc... de mes serveurs ,
- soit le problème semble bien être lié à la façon d'aller récupérer les définitions virales qui serait devenue "obsolète" ou "défectueuse" par suite de modifications apportées chez les développeurs de SME ou ceux de chez ClamAV.

(je penche volontiers pour la seconde hyptothèse, bien que la première ne soit pas écartée non plus mais je ne suis plus le seul à rencontrer la chose...)


Bon dimanche !

Cordialement,
HP

[jdh]

2010-08-19 12:39:13.086706500 WARNING: Can't query current.cvd.clamav.net
2010-08-19 12:39:13.086776500 WARNING: Invalid DNS reply. Falling back to HTTP mode.
2010-08-19 12:39:13.087187500 Reading CVD header (main.cvd): ERROR: Can't get information about database.clamav.net: Name or service not known
2010-08-19 12:39:33.090530500 WARNING: Can't read main.cvd header from database.clamav.net (IP: )

Pourtant ...

[john56]

Je suis dans une école également, j'ai bien donné les dns du FAI dans sme.
J'ai testé ces procédures sans succès
http://www.clamav.net/lang/en/support/mirror-problem/

[jibe]

Salut,

J'ai aussi des "invalid DNS reply" dans les messages freshclam. De temps en temps, pas systématiquement. Le problème s'est toujours résolu tout seul après quelques heures, voire quelques jours... Je ne me suis jamais penché plus sur la question, puisque tout rentre dans l'ordre sans intervention. Mais ces messages récurrents me semblent quand même être la preuve que quelque chose ne va pas bien dans cette procédure de mise à jour... Maintenant, est-ce chez Clamav ou sur nos SME ? Je ne saurais dire !

En tous cas, je répète : ça ne dure pas. Si ça dure, c'est qu'il y a un autre problème qu'il faut déterminer. La piste du DNS est à prendre en considération, c'est effectivement une possibilité. Mais le problème ne vient pas forcément de là... Cela se produit-il systématiquement chez vous, ou pas ? Si oui, il y a peut-être bien quelque chose d'anormal dans vos DNS.

Puisque la question est posée

Je sais bien que la doc SME mentionne que l'on a pas besoin de dns (?)

J'y réponds :

Oui, inutile de préciser quoi que ce soit au niveau des DNS SME, sauf cas spécial. Cela est mentionné non seulement dans la doc, mais dans l'écran de saisie de configuration. La raison est simple : SME a son propre système de DNS, qu'il est bon d'utiliser non seulement pour la SME elle-même, mais aussi pour tous les postes du LAN. SME résoud ainsi tous les noms internes, et renvoie aux root DNS pour la résolution des noms externes non mémorisés. Donc, (hormis l'appel aux root DNS plutôt qu'à des serveurs de hiérarchie inférieure qui fera probablement tiquer jdh), SME est très bien faite de ce côté là et est bien fidèle à son but de fournir un serveur "all in one" simple à configurer sans connaissances.

Il est cependant possible de préciser un autre serveur DNS : cela peut servir dans un environnement multi-serveurs, où la résolution de noms ne doit pas être assurée par SME, ou tout simplement dans le cas d'Orange qui, comme chacun sait, a une curieuse manière d'effectuer la résolution de nom de ses serveurs SMTP qui oblige à utiliser obligatoirement leurs serveurs DNS sous peine de ne pas pouvoir envoyer de mails à d'autres domaines (refus avec mention "relaying not allowed").

Je préconise donc à ceux qui ont un problème répétitif de DNS avec freshclam de vérifier s'ils ont indiqué ou non un DNS externe dans leur configuration, et de le supprimer momentanément pour vérifier que ce ne soit pas lui qui résolve mal les requêtes freshclam. Cela pourrait aussi se vérifier avec les outils habituels genre nslookup ou autre host. Mais je répète : la mention "invalid DNS reply" apparait dans les mails freshclam sans qu'il y ait forcément de problème DNS pour une cause que j'ignore.

[jdh]

Gaston m'avait déjà indiqué les choix SME en matière de DNS.
Je pense préférable, en effet, de ne pas accéder aux root servers directement mais aux serveurs du fai : "best effort" traditionnel sur Internet.

Je n'ai regardé plus près mais il est possible que le nom dns "current.cvd.clamav.net" soit sous forme round-robin puisque tous les serveurs du monde utilisant clamav s'y réfèrent lors de la maj. Cela pourrait expliqué le problème qui ne devrait être que ponctuel.

[jibe]

Gaston m'avait déjà indiqué les choix SME en matière de DNS.
Je pense préférable, en effet, de ne pas accéder aux root servers directement mais aux serveurs du fai : "best effort" traditionnel sur Internet.

Je serais assez de ton avis. Mais il faudrait en parler chez contribs.org, ce qu'ils risquent bien de prendre de très haut, comme d'hab. Ces messieurs sont très susceptibles !

Cela dit, si j'ai bonne mémoire (j'avais regardé ça d'un peu plus près il y a quelques années), il me semble que ce serait assez facile à modifier tout en conservant la résolution "normale" par SME.

Je n'ai regardé plus près mais il est possible que le nom dns "current.cvd.clamav.net" soit sous forme round-robin puisque tous les serveurs du monde utilisant clamav s'y réfèrent lors de la maj. Cela pourrait expliqué le problème qui ne devrait être que ponctuel.

Je pense que tu veux dire par là que le fait que le problème apparaisse de temps en temps puis disparaisse tout seul serait dû au fait qu'on tombe parfois sur un serveur en panne ? Cela pourrait être une explication. Mais c'est assez rare qu'un mail arrive seul : j'en ai généralement une série, puis plus rien pendant plusieurs semaines. Je pense que si c'était round-robin qui envoie sur un serveur HS, on n'aurait pas le même problème lors des essais suivants ?

[john56]

En lisant vos réponses, je viens d'enlever le DNS que j'avais rentré à la main dans sme.
Réponse dans les prochains jour dans mon cas


Ps : ce qui est étrange, c'est qu'avant si je ne mettais pas ce DNS "à la main" (DNS d'Oleane : 194.2.0.20)
Je n'avais pas internet depuis la sme.
Une confusion de ma part ?


On verra bien.