ClamAV Fehlermeldung

Vom einfachen Programm zum fertigen Debian-Paket, Fragen rund um Programmiersprachen, Scripting und Lizenzierung.
Antworten
mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

ClamAV Fehlermeldung

Beitrag von mrserious » 17.04.2014 19:51:33

Hallo!

wenn ich auf meinem Server ein ganz einfaches ClamAV-Skript ausführe (s.u.), wirft er mir diese merkwürdige Fehlermeldung, über die sich bei google leider fast nichts finden lässt.

Code: Alles auswählen

LibClamAV Error: CRITICAL: fmap() failed
LibClamAV Warning: fmap: map allocation failed
Die Meldung wird dann mehrfach wiederholt.
Das Problem scheint nur bei einem speziellen Mountpoint aufzutreten, auf dem eine LUKS-Partition eingebunden ist.
Bei einer anderen verschlüsselten Partition funktioniert aber alles tadellos.

Habt ihr eine Erklärung?
Könnt ihr ClamAV generell empfehlen? Ich teste damit in regelmäßigen Abständen meine Datenbestände auf Viren.

Grüße,
mrserious

Code: Alles auswählen

#!/bin/bash

vscanlog="/crypt/vscan.log"


rm -rf $vscanlog

echo $(date +%H:%M:%S///%d-%m-%Y) Virenscan >> $vscanlog

clamscan -r --infected /crypt1 >> $vscanlog
clamscan -r --infected /crypt2 >> $vscanlog


rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: ClamAV Fehlermeldung

Beitrag von rendegast » 18.04.2014 05:42:51

Mit einem

Code: Alles auswählen

strace  -e trace=file -f -o /tmp/clamscan.strace  clamscan -r /crypt1
könnte vielleicht ein Zusammenhang zwischen Meldung und versuchter Datei hergestellt werden.



Könnt ihr ClamAV generell empfehlen?
Bei Beobachtung auf virustotal.com mit selbstgesammelter malware hängt clamav meist arg hinterher
(Wochen, Monate).
Da wäre es zielführender, monatlich mal eine rescue-CD von einem der Platzhirsche in qemu laufen zu lassen.
Weiterhin (neuere) proprietäre Archivformate, Bsp. libclamunrar.so.6.1.6
libclamunrar (0.96.4-1) unstable; urgency=low

* New upstream version
* Bumped standards version to 3.9.1 (no changes).

-- Michael Tautschnig <mt@debian.org> Tue, 26 Oct 2010 00:16:24 +0200
In suse-clamav-Paketen gäbe es vielleicht verwendbare libclamunrar.so.6.1.xx / libclamunrar_iface.so.6.1.xx.
Dort gehen diese Benennungen hoch bis 6.1.20 ( ob suse wirklich am alten Quelltext "dreht"? ),
benötigen in 64bit aber libc 2.14.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: ClamAV Fehlermeldung

Beitrag von mrserious » 18.04.2014 08:58:09

Moin,

dein Befehl war sehr hilfreich ;-)
Das Problem scheint immer aufzutreten, wenn große Dateien gescannt werden sollen.
Habe hier zwei Ordner mit Filmen.
Wenn ich sie unabhängig voneinander scanne, kommt genau jene Fehlermeldung.
Jetzt frag' ich mich: Wie kann das sein?
Das System läuft zwar auf einem USB-Stick, auf dem sind aber noch gute 8 GB frei.
RAM sind 2GB verbaut, damit hatte ich bislang auch nie Probleme.

Habt ihr / hast du eine Idee?

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: ClamAV Fehlermeldung

Beitrag von rendegast » 19.04.2014 07:55:15

Wenn ich sie unabhängig voneinander scanne, kommt genau jene Fehlermeldung.
Die Dateien sind dabei fehlerfrei lesbar, 'cat datei > /dev/null'?

Erhöhe Deinen swap, dabei muß das nichtmal der Dateigröße entsprechen.
Bsp. 4GB RAM, 600MB swap, Testdatei 60GB VM-Image -> clamscan Fehler
weitere swap-Datei 1GB -> clamscan ohne Fehler.
Dabei wird der swap-Space gar nicht benutzt, auch keine temp-Dateien

Code: Alles auswählen

watch -n 1 -d 'free -m ; df -m'
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: ClamAV Fehlermeldung

Beitrag von mrserious » 19.04.2014 18:30:50

Moin,

ist den Versuch wert!
Habe gestern mal auf einem anderen Server (8GB RAM) eine 30GB-Datei gescannt, was kein Problem war.
Bei mir hier machen schon 2,1GB Probleme.
Die selbe Datei kann ich mittels cat allerdings wunderbar in /dev/zero schreiben.

Swap erweitern ist ansich kein Problem, möchte allerdings gern darauf verzichten, da der Server verschlüsselt ist und sensible Daten auf ihm liegen.
Kann man irgendwie errechnen, wie viel RAM für eine bestimmte Datei-Größe benötigt wird?
Größer als 15GB werde die zu scannenden Daten nämlich wohl nie werden.

Euch schöne Ostern!

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: ClamAV Fehlermeldung

Beitrag von rendegast » 20.04.2014 08:38:27

Die selbe Datei kann ich mittels cat allerdings wunderbar in /dev/zero schreiben.
Problem liegt dann wirklich auf Seite von clamav.
Eine erweiterte Meldung ala "Maybe ram/swap too small?" wäre wünschenswert?
Kann man irgendwie errechnen, wie viel RAM für eine bestimmte Datei-Größe benötigt wird?
Hatte oben ja geschrieben, daß auf den swap gar nicht zugegriffen wurde
(zumindest in dem Fall dieses Image).
Die Meldungen kommen wohl aus
libclamav/fmap.c (cl_fmap_t *cl_fmap_open_handle, cl_fmap_t *cl_fmap_open_memory)
libclamav/scanners.c (cli_base_scandesc)
Wie da was auszurechnen wäre?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

mrserious
Beiträge: 270
Registriert: 22.06.2013 12:12:03

Re: ClamAV Fehlermeldung

Beitrag von mrserious » 20.04.2014 10:19:33

Verstehe dein Argument mit dem RAM, würde im Zweifel aber lieber den RAM etwas aufstocken, kostet ja heutzutage auch nicht mehr die Welt.
Sonstige Meldungen bekomme ich leider nicht. Lediglich bei jeder zu großen Datei die oben bereits aufgeführten.

Antworten