Antivirus update funktioniert nicht

Keine Magie, aber ich denke ClamAV hat die Sperre wieder aufgehoben, zumindest solange bis QNAP seine Hausaufgaben gemacht hat und die veraltete Version von ClamAV ersetzt hat.

Mir ist gerade gestern durch den Kopf gegangen, ob man die Version von ClamAV nicht selbst von Hand aktualisieren kann. Müsste eigentlich möglich sein. Aber vermutlich, um beim nächsten Firmware-Update wieder auf der alten Version zu laden. Aber warten wir mal ab, wie QNAP darauf reagiert. Ich schätze, da wird in nächster Zeit was neues kommen müssen.

Zitat von Mavalok2

ich denke ClamAV hat die Sperre wieder aufgehoben, zumindest solange bis QNAP seine Hausaufgaben gemacht hat

Diese Vermutung klingt sehr plausibel...

Zitat von Mavalok2

ob man die Version von ClamAV nicht selbst von Hand aktualisieren kann.

Ich muss gestehen, dass ich so etwas nur ins Auge fassen würde, wenn es sich um wirklich sicherheitsrelevante Aspekte handelt, die von QNAP wegen EOL nicht mehr adressiert werden.

Mir hat damals der automatische Umbau der smb.conf (CVE-2021-44142) via die autorun.sh schon fast den letzten Nerv gezogen - 2 Monate später gabs dann tatsächlich noch ein Update von QNAP (das hat mich sehr überrascht, find ich aber echt toll).

Aber solange es zu erwarten ist, dass QNAP ein Problem löst (weil nicht EOL), möchte ich mir nicht durch meine Unwissenheit ev. zusätzliche Probleme eintreten...

Zitat von eyetap

dass ClamAV nicht updaten kann, aber gleichzeitig auch nicht aufhört etwas herunterzuladen.

So sind heute ca 3,6 GB ins NAS geflossen

Habe mal bei mir einen Blick in die Netzwerkstatistik geworfen. In der Zeit, in der das Update nicht funktioniert hat, hat dieses NAS 22 GB Daten aus dem Internet bezogen. Dafür dass es nichts bekommen hat, doch irgendwie reichlich Daten. Normalerweise dürfte dies in dem Zeitraum keine 500 MB sein. Muss ja nur die Daily.cvd aktualisiert werden.

Hat bzw. hatte man ein paar NAS herumstehen, kann man so die Internetleitung auch dicht bekommen.

Guten Morgen,

ich aktualiesiere mein QNAP TS412 (aktuellste QTS 4.3.3) leider jedes Mal manuell. Die Datenbank findet sich unter http://database.clamav.net/ (bzw. https://clamwin.com/content/view/58/27/)

Ich denke, dass die Aktualisierung nicht funzt, liegt an der dort hinterlegten Aktualisierungsadresse für die Virusdatenbank: http://www.clamav.net/

Die korrekte Adresse lautet allerdings: http://database.clamav.net/ (wie bereits geschrieben)

Leider besteht in dieser Oberfläche keine Möglichkeit, die korrekte Adresse zu hinterlegen. Wenn es jemand weiß, welche Möglichkeiten ich habe, um die Aktualisierungsadresse zu korrigieren?

Vielen Dank vorab.

Ich würde eher sagen, das liegt daran, dass ClamAV alte Versionen offiziell nicht mehr unterstützt.

Mavalok2, danke für Deinen Kommentar. Diese Antwort kenne ich bereits. Meine TS412 schnurrt seit Jahren und tut ihren Dienst, für das, was sie machen soll - Datensicherung für Dokumente, private Fotos und Filme. Das funktioniert auch auf dem heimischen TV.

Und es fehlt weiterhin die Beantwortung meiner Frage.

Die in der QTS-Oberfläche zu sehende Aktualisierungsadresse für die Virusdatenbank http://www.clamav.net/ ist fest hinterlegt.

D.h. es gibt eine Datei (für die QTS-Oberfläche), in der diese Adresse fest eingeschrieben ist. Wenn ich (als Admin) diese Datei in einem Editor öffne und "http://www.clamav.net/" durch "http://database.clamav.net/" ersetze, sollte die Update-Datei erneut gefunden werden.

Nur wo finde ich die zu ändernde Datei?

Ob dies änderbar ist, kann ich Dir nicht sagen. Könnte auch fest im Programm kodiert sein. Ich habe im folgende Blog-Beitrag einige Pfade für das AntiVirus-Programm aufgelistet. Vielleicht wirst Du da fündig.

Blog-Artikel

Sicherheit - Security Tools für die QNAP

Titel.png„Welche Sicherheitstools gibt es für die QNAP und welche soll ich verwenden?“ Diese Frage wird in letzter Zeit immer öfter hier im Forum gestellt. Deshalb stelle ich kurz die gängigen vorhanden Tools vor. Vorne weg: Die Liste ist kurz.

• Malware Remover (kostenlos aus dem App Center)
• Antivirus – ClamAV (standardmäßig schon installiert)
• Antivirus – McAfee (x86, kostenpflichtig aus dem App Center)
• Proxy Server (kostenlos aus dem App Center)

1. Malware Remover


Die App…

Mavalok2

1. Juni 2018

Man kann alternative Download Server angeben, habe ich irgendwann mal hier gepostet.

Das Problem ist aber, das man zwar aktuelle Signaturen speichern kann, aber man kann die Engine nicht aktualisieren. Dafür reicht i.d.R. der Speicherplatz auf den alten NAS nicht mehr aus (bei mir 2GB RAM mit TS-669).

insofern ist auch das aktualisieren der Signaturen IMHO sinnlos.

Gruss

Das TS-412 hat 256 MB RAM. Ich glaube, die aktuelle Version und DB braucht so 1 bis 1,5 GB - ohne Betriebssystem, Dienste etc. Alles was nicht als freier Arbeitsspeicher zur Verfügung steht, geht mittels virtuellen Arbeitsspeicher / SWAP auf die Festplatten.

andis7226

Wie lange dauert denn bei Dir so ein kompletter Scan?

Ich denke, bei 256 MB RAM werden sich die Festplatten auch mit alter Version kaum mehr beruhigen.

Sorry, für die späte Antwort - als Famileinvater habe ich nicht so oft Zeit.

Ich lasse die ClamAv-Routine in der Nacht laufen. Da stört es mich nicht, ob es 2 oder 3 Stunden dauetr.

Hat keiner eine Idee, wo in welchem Script sich die Adresse ändern läßt? Oder in welchem Ordner ich zumindest suchen müsste?

So auf Anhieb nicht. Müsste mich mit dem Thema etwas intensiver beschäftigen. Wird aber etwas dauern. Werde mir die nächsten Abende / Nächte mit Servicearbeiten und Installationen in der Firma und die Ohren schlagen und danach bin meist nur noch müde. Bin keine 20 mehr.

So. Hier ein paar erste Informationen. Diese basieren aber auf einem TS-473A mit QTS 5.1.5.2679, also ein aktuelle QTS mit x86 CPU. Ein altes System habe ich nicht.

Der Einfachheithalber durchsuche ich die Verzeichnisse mit dem Programme Filezilla unter Linux. Geht aucht Filezilla / WinSCP unter Windows.

Im Verzeichnis:

/mnt/HDA_ROOT/.config

gibt es drei Konfigurationsdateien für ClamAV:

• antivirus.global
• antivirus.jobs
• antivirus.quarantine

Aber die geben nicht viel her.

Im Verzeichnis:

/share/CACHEDEV1_DATA/.antivirus

Ist der ganze Virenscanner untergebracht, also das Programm.

Unter:

/share/CACHEDEV1_DATA/.antivirus/usr/local/bin

sind die Dateien:

• clamscan (Virenscanner)
• freshclam (Update Programm)
• sigtool (?)

Diese Dateien kann man in einem Texteditor zwar öffnen und sieht auch einiges im Klartext, aber das dürften in erster linie Kommentare und Fehlermeldungen sein. Der Rest ist kryptisch.

Das hier dürfte noch der Deamon von sein:

/share/CACHEDEV1_DATA/.antivirus/usr/local/sbin

• clamd

Hier noch die Bibliotheken der Programms:

/share/CACHEDEV1_DATA/.antivirus/usr/lib

Unter

/mnt/HDA_ROOT/.config

gibt es noch die Datei:

• clamd.conf

mit dem der Deamon einer Vielzahl von Einstellungen angepasst werden können.

Im gleichen Verzeichnis gibt es auch noch

• freshclam.conf

Das dürfte wahrscheinlich die interessante Datei sein, mit dem man das Update-Programm konfigurieren könnte. Leider kriege ich die nicht geöffnet.

Da bekomme ich in der WebGUI dann solche Meldungen:

Warnung	2024-03-02	22:28:57	Mavalok2	SSH/SFTP	/mnt/HDA_ROOT/.config/freshclam.conf	Lesen (Zugriff verweigert)

Mit dem Befehl über die Konsole:

sudo cat freshclam.conf

bekommt man dann dieses zu sehen:

DatabaseMirror download.qnap.com/clamav-cvd
DatabaseMirror db.local.clamav.net
DatabaseMirror db.ch.clamav.net
DatabaseMirror db.cn.clamav.net
DatabaseMirror db.jp.clamav.net
DatabaseMirror db.us.clamav.net
DatabaseMirror database.clamav.net
MaxAttempts 2
DNSDatabaseInfo clamav.qnap.com

Ich würde sagen: Bingo.

Ich schätze, das dürfte der Ort sein, den Du suchst. Die große Frage: Wie änderen. Das dürfte sich nicht eben mal so umbiegen lassen.

Mavalok2 : doch, das geht .

Siehe z.B. hier oder hier. Beides alte Threads zu dem Thema.

Gruss

Das man die Einträge ändern kann, das ist mir schon klar, aber wie Du selber in den Beiträgen schreibst, ist dies dann nicht wirklich von Dauer.

Dazu hat ClamAV gewisse Änderungen auf der Downloadseite durchgeführt. Ob dies so wie vor 3 Jahren noch funktioniert?

Interessant wäre zumindest mal der Vergleich der Einträge von altem ClamAV und aktuellem.

Den aktuellen Prozess von ClamAV habe ich mir seit längerem nicht mehr angesehen, da es auf meinen alten NASen nicht mehr läuft.

Mir ging es in o.a. Beitrag um die Änderung der freshclam.conf.

Die kann man durchführen.

Gruss

Vielen lieben Dank. Dann werde ich mich mal hineinknien.

Mavalok2 und FSC830, noch einmal vielen Dank.

In der freshclam.conf findet sich der Eintrag "DatabaseMirror database.clamav.net".

Und in der antivirus.sh wäre auch die korrekte Adresse:

/bin/echo "DatabaseMirror database.clamav.net" >> $FRESHCLAM_CONFIG

Weiter oben in der antivirus.sh finden sich folgende Einträge:

... 
ANTIVIRUS_SCRIPT="/etc/init.d/antivirus.sh"
ANTIVIRUS_CONFIG="/etc/config/antivirus.global"
...
CLAMSCAN="/usr/local/bin/clamscan" ...
RESHCLAM="/usr/local/bin/freshclam"
FRESHCLAM_CONFIG="/etc/config/freshclam.conf"
...

Mit der täglich erscheinenden Fehlermeldung habe ich dann mal in der antivirus.sh gesucht.

Und siehe da:

...
else #LEGACY or wrong engine
dbgprintf "  $FRESHCLAM -u admin -l /tmp/.freshclam.log"
$FRESHCLAM -u admin -l /tmp/.freshclam.log 1>"$freshclam_err" 2>&1
if [ $? = "0" ]; then
# set antivirus status update complete
dbgprintf "  /sbin/setcfg Antivirus AntivirusStatus 4 -f $ANTIVIRUS_CONFIG (4:successful)"
/sbin/setcfg "Antivirus" "AntivirusStatus" "4" -f "$ANTIVIRUS_CONFIG"
/bin/grep "Database updated" /tmp/.freshclam.log 1>>/dev/null 2>>/dev/null
if [ $? = 0 ]; then
/sbin/write_log "[Antivirus] Virus definitions updated." 4
fi
[ ! -f /tmp/.freshclam.log ] || /bin/rm -f /tmp/.freshclam.log
local now_time=`date +%s`
/bin/rm -f $update_lock
/bin/rm -f "$freshclam_err"
else
/bin/grep "/tmp/.freshclam.log is locked" "$freshclam_err" 1>>/dev/null 2>>/dev/null
if [ $? != 0 ]; then
# set antivirus status update fail
dbgprintf "  /sbin/setcfg Antivirus AntivirusStatus 5 -f $ANTIVIRUS_CONFIG (5:fail)"
/sbin/setcfg "Antivirus" "AntivirusStatus" "5" -f "$ANTIVIRUS_CONFIG"
/sbin/write_log "[Antivirus] Failed to update virus definitions. Please try again later or update the definitions manually." 2
...

Es muss also einen Eintrag in der ".freshcam.log" geben. Angeschaut und siehe da:

...ClamAV update process started at Sun Mar 10 00:16:08 2024
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.3 Recommended version: 0.103.11
DON'T PANIC! Read http://www.clamav.net/documents/upgrading-clamav
main.cvd is up to date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
WARNING: getpatch: Can't download daily-27190.cdiff from database.clamav.net
ERROR: getpatch: Can't download daily-27190.cdiff from database.clamav.net
WARNING: Incremental update failed, trying to download daily.cvd
ERROR: Can't download daily.cvd from database.clamav.net
Giving up on database.clamav.net...
Update failed. Your network may be down or none of the mirrors listed in /etc/config/freshclam.conf is working. Check http://www.clamav.net/doc/mirrors-faq.html for possible reasons.
...

Die Routine prüft die Version, stellt fest, sie ist zu alt, und prüft dann die "main.cvd". Die ist korrekt (habe ich ja vor kurzem erst manuell erneuert).

Dann möchte die Routine eine "daily-27190.cdiff" haben und findet sie nicht auf der "database.clamav.net".

Danach Abruch:

"WARNING: Incremental update failed, ..."

Ob dort eine *.cdiff vorhanden ist kann ich nicht sagen, da man darauf keinen Zugriff hat.

You reached one of ClamAV virus database mirrors: database.clamav.net is a round robin record that tries to equally balance the traffic
between all the database mirrors.
For a complete list of our mirrors visit http://www.clamav.net/mirrors.html
You'll be redirected to ClamAV home page (http://www.clamav.net) in 15 seconds...

Dann gibt es noch die Meldung dass die Routine die "daily.cvd" herunterladen soll, worauf eine Fehlemeldung kommt, und er es aufgibt:

ERROR: Can't download daily.cvd from database.clamav.net
Giving up on database.clamav.net...

Das heißt für mich, antivirus.sh macht das, was es soll. Ich habe jetzt die Vermutung, dass es ClamAV mit Version 0.993 versucht, die cdiff zum Abgleich haben zu wollen und die V 0.103.11 darauf verzichtet.

Mein Versuch wäre jetzt, auf die V0.103.11 upzudaten. Die tar finde ich hier: https://www.clamav.net/downloads

Und da habe ich meine Schwierigkeiten, weil ein Update habe ich in der Form so noch nicht durchgeführt.

Da bitte ich um Hilfe (auch wenn ich jetzt von einigen die Unken rufen höre).

Danach würde ich mir ".freshcam.log" noch einmal ansehen.

Eventuall findet ja auch noch Eurerseits jemand Anmerkungen zur "daily-27190.cdiff". Ich wüßte leider nicht, wo ich da suchen müsste.

Vielen Dank vorab.

Und noch einen schönen Sonntag

Ob und wie man eine aktuelle Version von ClamAV auf einem alten QTS zum Laufen kriegt habe ich keine Ahnung. Normalerweise wird ClamAV mit dem Betriebssystem durch QNAP aktualisiert.

Die Einträge in der freshclam.conf stimmen aber alle, nicht nur database.clamav.net?

Es wurde eine Zeit lang von ClamAV so kommuniziert, dass Updates von alten Versionen von Seiten ClamAV blockiert werden. Ich schätze, dass beim Update die Version an den Update-Server mitgeteilt wird und so von der anderen Seite blockiert wird. Die wollen die alten Versionen los werden.

Das TS-412 ist 13 Jahre alt. Vielleicht mal so langsam einen Sparstrumpf für dessen Nachfolger anlegen.

TS-412 | Hardwarespezifikationen

QNAP entwickelt und liefert hochqualitative Network Attached Storage Systeme (NAS) und professionelle Netzwerk Video Rekorder (NVR) für Anwendungen im…

www.qnap.com

Mit 256 MB RAM - die meisten Smartwatches haben mehr Arbeitsspeicher - läuft die aktuelle Version vermutlich ohnehin nicht mehr.