SME 7.5 + Mise à jour ClamAV = "FreshClam : Update Failed"

[dletendart]

bonjour
voila une solution qui fonctionne (jusqu'a preuve du contraire lol)
edité le fichier /ect/freshclam.conf
ajouté la ligne suivante : DatabaseMirror database.clamav.ps.pl
et tapé freshclam -v
bye @+

[fhs74]

A modifier via les templates, sinon à la prochaine mise à jour tout est perdu....

[jibe]

Salut,

ajouté la ligne suivante : DatabaseMirror database.clamav.ps.pl

Tu peux dire d'où tu tiens ça ?
J'ai rarement vu quelque chose de bon en .pl... A priori, je suis extrêmement méfiant et je conseillerais plutôt de ne rien tenter de ce genre avant une très sérieuse vérification.

Ne le prends pas pour toi, dletendart : je ne veux pas mettre en doute ta bonne foi. Mais la mise à jour d'une base de signatures antivirus nécessite la plus grande prudence en ce qui concerne ses origines ! Par contre, ce n'est pas la première fois que tu donnes des infos sans citer tes sources, ça je ne trouve pas très correct, même si effectivement la GPL n'y oblige pas (quand il s'agit de quelque chose sous cette licence !). Et dans le cas qui nous préoccupe ici, c'est très gênant car, vu l'origine, il peut s'agir d'un "miroir" trafiqué. Il faut absolument qu'il puisse être vérifié par plusieurs experts avant d'être déclaré comme fiable. Ou qu'on sache de manière sûre et vérifiable que ça a été fait, et pourquoi ce miroir ne suit pas la même règle que les autres pour son nom...

Sérieusement, cela pourraît peut-être s'expliquer de par ma position géographique...

Non : si tu compares à ce qu'a publié john56, c'est tout à fait différent. Lui a une réponse invalide des DNS qui est rejetée par freshclam. Toi, tu as une réponse valide qui renvoie sur un mauvais site. Ce n'est pas du tout la même chose !

Dans ce cas, quel DNS serait en cause ?
- Le DNS local et propre à SME ??
- Le DNS de la passerelle par défaut (la "Box", donc, le FAI ou bien "the default" 'gateway' ou 'DNS server' du campus, etc...) ??

Celui qui assure la résolution de noms
Il faut que tu apprennes te servir des outils comme host (ie man host, sinon ce serait étonnant que caleca n'en parle pas... ou alors, il faut demander à l'ami google un bon tuto sur le sujet) pour trouver quel serveur te renvoie sur ce site, et comment il se fait que ce soit ce serveur là qui te fasse la résolution de nom.

Normalement, la SME soit utilise ce qu'elle a mémorisé, soit renvoie sur les root DNS. Toutes les SME devraient donc avoir le même résultat pour une même requête (à supposer que tous les root DNS, choisis si ma mémoire est bonne par un round-robin, soient d'accord entre eux ce qui devrait normalement être le cas). Apparemment, la résolution de noms est faite d'une autre manière chez toi. Il faut que tu fasses les vérifications nécessaires pour savoir pourquoi (vérifier la config et les templates - okazou il y ait eu modif ou template-custom). Pas besoin de chercher des DNS fiables : si les root DNS ne le sont pas, qui le sera ?

Au passage, as-tu d'autres bonnes adresses de sites proposant ce genre d'outils de vérification ?

Moi, non. J'ai un copain qui sait. Son nom commence par un G, suivi d'un certain nombre de o. Moi, j'utilise généralement les outils en ligne de commande, et quand je veux comme ici envoyer sur un outil en ligne, je demande au copain

on dirait que ça date

Et alors ? W$NT a bien été sorti pour s'affranchir du code buggé datant de Windows 2 que plus personne ne comprenait
En plus, là, c'est facile à comprendre et pas buggé => pourquoi changer une équipe qui gagne ?

bonjour, finalement 3 mails cette nuit de pb de freshclam et dns pour ma part.

Marrant : j'avais déjà vaguement remarqué ça : ces mails apparaissent un peu au même moment, mais avec quand même un décalage entre plusieurs SME... Là, ça correspondrait un peu à ceux que j'ai signalés avoir reçus, mais c'est bien décalé... Mais bon, c'est comme j'avais dit : il y en a de temps en temps, et tant que ce n'est pas trop souvent et que tout se remet en ordre sans intervention, ça ne me parait pas très affolant...

[HP77]

Bonjour,

bonjour
voila une solution qui fonctionne (jusqu'a preuve du contraire lol)
edité le fichier /ect/freshclam.conf
ajouté la ligne suivante : DatabaseMirror database.clamav.ps.pl
et tapé freshclam -v
bye @+

Personnellement, si bricolage je dois faire, je préfèrerais davantage faire une modification au bon endroit pour aller chercher les bons fichiers ici : http://db.local.clamav.net/main.cvd comme c'est pointé par le lien présent sur la page d'accueil de chez ClamAV : http://www.clamav.net/

Hier, j'ai cliqué sur le lien dans l'infâme IE (que je suis forcé d'utiliser au boulot) et j'avais droit au téléchargement du fichier qui apparaissait donc en clair sur l'écran.
(rien d'anormal à cela, IE ne sachant pas quoi faire d'autre avec un type de fichier inconnu )


En bref, comme le souligne bien Jibe, il est préférable (et je préfère aussi) une source sure ou, du moins, officielle de chez officielle (= directement de chez l'éditeur du logiciel concerné).

Maintenant, j'ai posé cette "question" : "database.clamav.ps.pl" à "l'ami G." de Jibe et voici un extrait de sa réponse :
- A: the status of ClamAV® Database mirrors qui donne du crédit quant-à la fiabilité de la source de dletendart mais ne répond pas encore à la question : "Pourquoi ce serveur en particulier ?"
- B: freshclam: Update failed en allemand, avec le même genre d'email que le mien...
- B.FR: même chose traduite en "FR" par ce même "G." ...
- B.EN: même chose traduite en "EN" par ce même "G." (un petit peu plus lisible, EN et DE étant assez proches l'un de l'autre, plus que FR...

Dans tous les cas, il y a quelque chose à faire pour améliorer la fiabilité de l'équipe "gagnante" de 2006.


Personellement, chez ClamAV, je verrais bien des fichiers "weekly.cvd" et "monthly.cvd" pour aider à palier les problèmes de synchronisation comme ceux que l'on rencontre.
A vrai dire, si je savais comment procéder techniquement, je me lancerais bien dans ce projet mais, après cela, c'est la bande passante de ma connexion Internet qui ne suivrait pas donc, une petite requête adressée à qui de droit du campus où je travaille pourrait peut-être aider à avoir le une connexion Internet un peu plus réaliste pour un site mirroir de ce type.

Qu'en pensez-vous ?

Cordialement,
HP

[sweepy]

Bonjour

j'avais le même problème depuis deux jours et sur le site de clamav il y a ceci

* Update failed. Your network may be down or none of the mirrors listed in freshclam.conf is working.

* Ce n’est pas votre jour de chance. Freshclam essaie toutes les possibiltés pour se mettre à jour mais échoue. Habituellement, ceci veut dire que tous les miroirs renseignés dans votre configuration sont hors services ou non synchronisés, ou quelque chose d’étrange se produit. Veuillez patienter quelques minutes et essayez de nouveau. Rappelez vous de mettre l’option -v de freshclam. Il est aussi possible que vous avez eu des problèmes de réseau prolongés et freshclam a blacklisté tous les miroirs: supprimez le fichier mirrors.dat du DatabaseDirectory et réessayez. Si le problème persiste, vérifiez le mirror status page et envoyez un email de ce que renvoie la commande freshclam -v à Luca .

j'ai donc renommé le fichier mirrors.dat

Code: Tout sélectionner

cp /var/clamav/mirrors.dat mirrors.dat.bak

ensuite un petit

Code: Tout sélectionner

freshclam -v

et plus de problème depuis ce matin

[dletendart]

jibe, pour info si je me permet de posté une info, cela est forcement testé avant....maintenant effectivement je manque certainement de précisions sur mes sources, mais cela est simplement parce que j'ai pas trop de temps....

Cordialement...

PS : pour information parfois il est préférable de donné certaine infos, certaine combines ou autres..... Plutôt que de laissé les gent dans l'embarras

[jibe]

Salut,

Encore une fois, je ne voudrais surtout pas décourager ce qui n'est peut-être bien que de la bonne volonté de ta part, dletendart. Malheureusement, je suis comme St Thomas : tant que je n'ai pas vu et touché, je ne crois pas.

Ces temps ci, je tombe plusieurs fois par jour sur des pages m'affichant un joli message du genre :

Vous êtes le 1000000000e visiteur. Ce n'est pas une blague : la preuve, il vous suffit de cliquer ici pour recevoir gratuitement monts et merveilles.

Te rends-tu compte que tu me dis exactement la même chose ? Ce n'est pas une plaisanterie, tu l'as testé. Mais tu ne peux pas me dire d'où tu tiens cette info (disponible facilement sur internet, aux dires de HP77, ce qui ne prouve rien d'autre pour moi que le fait qu'il n'y a aucune raison que tu n'aies pas donné un lien sur la source de l'info que tu donnes, et donc qu'elle est extrêmement suspecte simplement par le fait qu'on n'en connait pas l'origine)... Moi, je veux bien, mais es-tu réellement capable de juger du sérieux de ce miroir ? Comment peux-tu être sûr que la base de signatures est bien exactement celle fournie par les auteurs de clamav, et pas une base dans laquelle une signature aurait été supprimée ou modifiée, permettant à un spam ou un quelconque script de t'injecter un virus, un trojan ou autre backdoor qui ne sera alors pas détecté par clamav ?

Désolé d'être peut-être beaucoup trop méfiant et soupçonneux, mais nous sommes ici sur un forum dédié à la sécurité, et il n'y a rien de moins sécuritaire que de se précipiter sur n'importe quelle info dont on ne connait pas l'origine, et à peine celui qui la donne. Si tu es effectivement le gars compétent et consciencieux dont tu essaies de donner l'image, tu comprendras parfaitement ma position même si je reconnais qu'elle n'est pas très valorisante pour toi dans ce cas précis...

@sweepy :
Je ne me suis jamais penché sur le fonctionnement de freshclam, mais ce que tu cites parait effectivement pouvoir être la ou au moins une des raison(s) des mails d'alerte. Les derniers que j'ai eus (et signalés) il y a quelques jours correspondent d'ailleurs à la suite d'une rupture de ma connexion WAN pendant quelques heures. L'histoire du blacklistage pourrait être l'explication dans ce cas... A vérifier de plus près bien sûr : je me base seulement sur des impressions et souvenirs, il faudrait vérifier de près. Mais ça semble aller dans le même sens que ta propre expérience.

Personnellement, si bricolage je dois faire, je préfèrerais davantage faire une modification au bon endroit pour aller chercher les bons fichiers ici : http://db.local.clamav.net/main.cvd comme c'est pointé par le lien présent sur la page d'accueil de chez ClamAV : http://www.clamav.net/

Non, ce n'est guère mieux. Pour deux raisons :
* La première, c'est que si tout le monde fait cela, le serveur va s'écrouler ! Les miroirs sont là pour le décharger, il faut s'en servir. Et si tu bidouilles, il vaudrait d'ailleurs mieux le faire pour aller chercher les miroirs du pays où tu te trouves comme l'a mentionné jdh, pour mieux répartir la charge des miroirs autour du monde.
* La seconde, c'est qu'il y a de fortes chances que tu aies un problème de DNS. En étant juste assez parano pour ne pas se faire avoir, on peut imaginer que ton serveur DNS a été configuré pour t'empêcher d'avoir une mise à jour correcte de clamav. Donc, en allant sur http://db.local.clamav.net/main.cvd, le serveur DNS traitre peut très bien te renvoyer sur l'@IP d'un "miroir" bricolé comme je l'explique à dletendart !

Parano, moi ? Bien sûr : Comme je le disais récemment, lorsqu'on s'occupe de sécurité, être parano est un devoir professionnel. Ce que j'explique, hélas, n'arrive pas qu'aux autres. Et ceux qui mettent ça en place comptent sur le fait que, justement, la plupart des gens sont loin d'attacher à ce genre de choses l'importance qu'elles méritent.

Donc, pour ton cas, HP77, ne cherche pas des solutions de contournement (qui te prennent peut-être plus de temps que de prendre le taureau par les cornes), ne te disperse pas. Traite correctement chaque problème, un par un, en traitant les causes et non les conséquences