ClamAV: extrem hohe CPU-Auslastung

german

#1

Hallo,

vielleicht hat jemand das selbe Problem: Ich habe jetzt zum 2. Mal eine kritische nagios-Warnung bekommen wegen zu hoher CPU-Auslastung. Es stellte sich heraus, dass der Prozess clamscan fast die komplette cpu in Anspruch nimmt. Der Prozess gehört dem user www-data. ClamAV ließ sich über das Webinterface nicht beenden (siehe angehängte Fehlermeldung). Über SSH konnte ich es neu starten, dann war die Auslastung wieder normal.

Ich habe weiterhin festegestellt, dass ClamAV in der Version 0.97.7 installiert ist. Aktuell wäre 0.98.4. Ich bekomme aber kein update über apt / univention Update.

Kann mir vielleicht jemand einen tipp geben, woran das liegt. Könnte es sein, dass die veraltete ClamAV-Version für einen Angriff ausgenutzt wird?

Vielen Dank

mereh




#2

Hallo und willkommen im Forum,

Womit clamscan beschäftigt war, kann man wahrscheinlich jetzt nicht mehr herausbekommen. Wenn es unter dem User www-data lief, dann war es wahrscheinlich ein Job, der aus dem Webserver ausgelöst wurde, und das Minus am Ende des Kommandos sagt, daß clamscan keine Datei auf der Festplatte scannt, sondern die Daten von STDIN bekommt. Haben Sie einen Web-Dienst laufen, der Upload von Dateien erlaubt? Auf Ihrer Prozeßliste erscheint der Zarafa-Server, vielleicht passiert das Problem, wenn jemand im Webinterface eine Datei an eine Mail anhängen möchte?

Auf jeden Fall sollten Sie die Konfiguration von ClamAV anschauen, es gibt eine ganze Reihe von Optionen, mit denen man die Ressourcennutzung von clamscan in Grenzen halten kann (z.B. Rekursionstiefe und Speicherbedarf beim Auspacken von Archiven). Wenn Sie die Möglichkeit haben dies zu ändern, ich würde auf jeden Fall lieber clamdscan verwenden, der Performance wegen.

Das scheint kein Problem von clamscan zu sein. Ich habe die betreffende Fehlermeldung in [bug]25305[/bug] gefunden. Im Zweifelsfalle wissen Sie sich ja zu helfen, indem Sie sich an dem Rechner per SSH anmelden und den Prozeß manuell beenden.

Der ClamAV Updater (freshclam) macht Sie immer darauf aufmerksam, sobald die bei Ihnen aktuell installierte Version nicht die allerneueste ist. Die ClamAV EOL Policy verspricht aber, daß die aktuellen Patterns immer in der aktuellen Hauptversion (0.98.x) und in der davorliegenden Hauptversion (0.97.x) funktionieren. Dies sollte also immer ausreichen, selbst wenn UCS auf der Paketbasis von Debian Squeeze (6.0) aufbaut.

viele Grüße
Frank Greif.


#3

Hallo Frank,

vielen Dank für Deine Antwort. Ich vermute mittlerweile, dass es mit dem Owncloud-Upload zusammenhing. Habe kürzlich ein System-Upgrade auf 3.2 gemacht. Mal sehen, ob das Problem wieder auftaucht.

Das mit clamdscan werde ich mir ansehen, vielen Dank für die Empfehlung!

Gruß
mereh

[quote=“greif”]Hallo und willkommen im Forum,

Womit clamscan beschäftigt war, kann man wahrscheinlich jetzt nicht mehr herausbekommen. Wenn es unter dem User www-data lief, dann war es wahrscheinlich ein Job, der aus dem Webserver ausgelöst wurde, und das Minus am Ende des Kommandos sagt, daß clamscan keine Datei auf der Festplatte scannt, sondern die Daten von STDIN bekommt. Haben Sie einen Web-Dienst laufen, der Upload von Dateien erlaubt? Auf Ihrer Prozeßliste erscheint der Zarafa-Server, vielleicht passiert das Problem, wenn jemand im Webinterface eine Datei an eine Mail anhängen möchte?

Auf jeden Fall sollten Sie die Konfiguration von ClamAV anschauen, es gibt eine ganze Reihe von Optionen, mit denen man die Ressourcennutzung von clamscan in Grenzen halten kann (z.B. Rekursionstiefe und Speicherbedarf beim Auspacken von Archiven). Wenn Sie die Möglichkeit haben dies zu ändern, ich würde auf jeden Fall lieber clamdscan verwenden, der Performance wegen.

Das scheint kein Problem von clamscan zu sein. Ich habe die betreffende Fehlermeldung in [bug]25305[/bug] gefunden. Im Zweifelsfalle wissen Sie sich ja zu helfen, indem Sie sich an dem Rechner per SSH anmelden und den Prozeß manuell beenden.

Der ClamAV Updater (freshclam) macht Sie immer darauf aufmerksam, sobald die bei Ihnen aktuell installierte Version nicht die allerneueste ist. Die ClamAV EOL Policy verspricht aber, daß die aktuellen Patterns immer in der aktuellen Hauptversion (0.98.x) und in der davorliegenden Hauptversion (0.97.x) funktionieren. Dies sollte also immer ausreichen, selbst wenn UCS auf der Paketbasis von Debian Squeeze (6.0) aufbaut.

viele Grüße
Frank Greif.[/quote]


#4

Hallo,

Derartige Erfahrungen wären für uns sehr hilfreich. Haben Sie die “Antivirus App for files” aktiviert oder ist das ggf. ein anderer Mechanismus?

Viele Grüße,
Dirk Ahrnke


#5

Ich habe tatsächlich die Antivirus App for files (0.4). Wenn ich etwas herausfinde, gebe ich eine Rückmeldung.