ClamAV обновление антивирусных баз

Средний рейтинг
5 из 5 звезд. 27 голосов.

Внимание! Данный материал размещен 16.03.2022. Информация может быть не актуальна на данный момент! Будьте, пожалуйста, внимательны!

Всем привет.

Предисловие.

С недавнего времени, в связи с событиями на Украине, товарищи из Cisco, которым принадлежит ClamAV, органичили доступ к серверам с базами определения вирусов с российских IP-адресов. Соответственно, антивирус не может достучаться до серверов с обновлениями и скачать БД.

Вот ссылка на Хабр с новостью.

Столкнулся с проблемой на рабочих серверах. Там Ubuntu 20.04.4 LTS.

Для себя выкачал БД с определениями вирусов — 16.03.2022 — и далее буду добавлять.

БД доступны по ссылке.

P.S. Приношу свои извинения, но пришлось закрыть паролем, т.к. боты задолбали. Пароль: 1d7Yir/E*@\$D

Обновление вручную.

Как обновить БД на сервере:

0) проверить версию БД:

или вот такой командой:

или еще вот так:

1) по SSH передать скачанные файлы на сервер, где установлен ClamAV,

2) перейти в каталог с файлами БД:

3) переименовать старые БД (имена приведены для примера):

4) переместить полученные по SSH файлы в этот каталог

5) установить пользователя и группу на эти файлы:

6) снова проверить версию БД:

Определения вирусов обновлены.

P.S. Старые файлы с БД лучше переместить в другое место или удалить вовсе.

Автоматическое обновление.

Если качать вручную лень, а сервер имеет доступ в Интернет, то можно настроить зеркало для обновления БД.

Для этого надо отредактировать freshclam.conf (у меня он находится по пути /usr/local/etc/):

изменить
ScriptedUpdates yes —> ScriptedUpdates no

добавить
PrivateMirror clmvupd.deltamoby.ru

freshclam.conf

[свернуть]

после этого выполнить:

У меня вот такой вывод:

freshclam -vvv

[свернуть]

Immunet — антивирус для Windows.

Так же, как временное решение, установил вот такой антивирус. Я им давно пользуюсь, но не везде, в основном на не оч критичных машинах.

Это антивирус на всё том же ClamAV, утилита для обновления — freshclam.

Настройка:

1)  После установки необходимо установить службу Immunet 7.5.0

Immunet service

2 ) Файл конфигурации freshclam.conf находит по пути:

C:\Program Files\Immunet\clamav\0.103.2.18

его открыть в редакторе, например, «блокнот», но только с повышенными привилегиями (от имени администратора).

В файлик добавить строку:

PrivateMirror clmvupd.deltamoby.ru

Если кто-то находится за прокси, то это самое прокси можно добавить (тут в качестве примера):

HTTPProxyServer 192.168.1.14
HTTPProxyPort 3128

freshclam.conf

! Обратите внимание, что Immunet сам определяет параметр прокси, если он задан в системе!

После перезагрузки ПК, указанный прокси исчезает из файла конфигурации, возможно связано с тем, что он использует системный параметр прокси.

Для запуска обновления, запустить cmd или powershell от имени администратора, перейти в каталог C:\Program Files\Immunet\clamav\0.103.2.18 и запустить freshclam.exe

powershell freshclam.exe

После этого посмотреть в главное окне программы, что базы обновлены

Immunet

UPDATE

Т.к. файлы bytecode.cvd и main.cvd всегда одни и теже в последнее время, то я выкладываю только daily.cvd

bytecode.cvdClamAV-VDB:08 Mar 2021 10-21
main.cvdClamAV-VDB:16 Sep 2021 08-32

Если кого-то это смущает или тревожит, то эти два файла вы можете выкачать по прямой ссылке отсюда:

прямые ссылки

bytecode.cvd

main.cvd

[свернуть]

либо по вот этой ссылке  в каталоге «old_[год]».

Но достаточно просто выкачать daily.cvd и его подменить.

2024-05-25

Добавил еще одно зеркало, т.к. с основным иногда бывают сбои.

clmvupd2.deltamoby.ru

Всем спасибо!

    Пожалуйста, докажите, что вы человек, выбрав чашка.

    If you found an error, highlight it and press Shift + Enter or to inform us.

    Мой рейтинг:

    Дмитрий

    родился, учился, работаю-учусь

    5 4 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest
    67 комментариев
    sokol116
    sokol116
    4 лет назад

    Вот спасибо! Очень полезно, я то я уже расстроиться успел. Все четко, обновления работают

    Илья
    Илья
    4 лет назад

    Спасибо Вам, добрый человек!

    johnny
    johnny
    4 лет назад

    Добрый день!

    Подскажите, пожалуйста, на файл bytecode.cvd нужно менять пользователя и группу и работает ли обновление сейчас?

    johnny
    johnny
    4 лет назад

    Спасибо за оперативный ответ!

    Да, пользователь есть такой, в Вашей инструкции меняем для daily.cvd и main.cvd, про bytecode.cvd не написано, поэтому и спросил.

    Вчера закинул файлы баз на свой сервер, все хорошо.
    С Вашего зеркала [PrivateMirror https://clmvupd.deltamoby.ru] можно качать обновления?

    johnny
    johnny
    Ответить на  Дмитрий
    4 лет назад

    Спасибо!

    Антон
    Антон
    4 лет назад

    Добрый день.
    Не качает базы так как не видит файл
    http://clmvupd.deltamoby.ru/main.cld.

    Антон
    Антон
    4 лет назад

    Большое спасибо автору за старания!

    Алекс
    Алекс
    3 лет назад

    Добрый день!
    Запускаю обновление с Вашего сервера, но получаю отказ. Можете подсказать в чем может быть дело?

    Tue Jul 12 11:07:39 2022 -> *Current working dir is /var/lib/clamav/
    Tue Jul 12 11:07:39 2022 -> *Loaded freshclam.dat:
    Tue Jul 12 11:07:39 2022 -> * version: 1
    Tue Jul 12 11:07:39 2022 -> * uuid: fef3e2ba-d2e6-4865-a621-05171d10fba9
    Tue Jul 12 11:07:39 2022 -> * retry-after: 2022-07-12 15:30:28
    Tue Jul 12 11:07:39 2022 -> ClamAV update process started at Tue Jul 12 11:07:39 2022
    Tue Jul 12 11:07:39 2022 -> *Current working dir is /var/lib/clamav/
    Tue Jul 12 11:07:39 2022 -> ^DNS Update Info disabled. Falling back to HTTP mode.
    Tue Jul 12 11:07:39 2022 -> ^FreshClam previously received error code 429 or 403 from the ClamAV Content Delivery Network (CDN).
    Tue Jul 12 11:07:39 2022 -> This means that you have been rate limited or blocked by the CDN.
    Tue Jul 12 11:07:39 2022 -> 1. Verify that you’re running a supported ClamAV version.
    Tue Jul 12 11:07:39 2022 -> See https://docs.clamav.net/faq/faq-eol.html for details.
    Tue Jul 12 11:07:39 2022 -> 2. Run FreshClam no more than once an hour to check for updates.
    Tue Jul 12 11:07:39 2022 -> FreshClam should check DNS first to see if an update is needed.
    Tue Jul 12 11:07:39 2022 -> 3. If you have more than 10 hosts on your network attempting to download,
    Tue Jul 12 11:07:39 2022 -> it is recommended that you set up a private mirror on your network using
    Tue Jul 12 11:07:39 2022 -> cvdupdate (https://pypi.org/project/cvdupdate/) to save bandwidth on the
    Tue Jul 12 11:07:39 2022 -> CDN and your own network.
    Tue Jul 12 11:07:39 2022 -> 4. Please do not open a ticket asking for an exemption from the rate limit,
    Tue Jul 12 11:07:39 2022 -> it will not be granted.
    Tue Jul 12 11:07:39 2022 -> ^You are still on cool-down until after: 2022-07-12 15:30:28

    Алекс
    Алекс
    Ответить на  Дмитрий
    3 лет назад

    Проверил, все корректно. Меня последняя строчка смущает в логе. Словно меня забанили. но кто?

    Алекс
    Алекс
    Ответить на  Дмитрий
    3 лет назад

    Тот же результат. Подожду до 15-30 значит

    вот конфиг:

    Спойлер

    DatabaseOwner clamav
    UpdateLogFile /var/log/clamav/freshclam.log
    LogVerbose true
    LogSyslog false
    LogFacility LOG_LOCAL6
    LogFileMaxSize 0
    LogRotate true
    LogTime true
    Foreground false
    Debug true
    MaxAttempts 5
    DatabaseDirectory /var/lib/clamav
    DNSDatabaseInfo current.cvd.clamav.net
    ConnectTimeout 60
    ReceiveTimeout 60
    TestDatabases yes
    ScriptedUpdates no
    PrivateMirror clmvupd.deltamoby.ru
    CompressLocalDatabase no
    Bytecode true
    #NotifyClamd /etc/clamav/clamd.conf
    # Check for new database 24 times a day
    Checks 24
    DatabaseMirror db.local.clamav.net
    DatabaseMirror database.clamav.net

    Алекс
    Алекс
    Ответить на  Дмитрий
    3 лет назад

    Все, пошло обновление.
    Что я сделал: удалил все файлы в /var/lib/clamav/
    Видимо где-то там и прописана локальная блокировка получения обновлений

    Сейчас процесс обновления идет полным ходом. Спасибо!

    Артур
    Артур
    3 лет назад

    Пишу в терминале команду sudo nano /usr/local/etc/freshclam.conf и в ответ открывается пустой новый файл в терминале. Открывал с помощью поиска freshclam.conf, но там нет ScriptedUpdates yes. И выглядит он по-другому, не как на скриншоте.

    Артур
    Артур
    Ответить на  Дмитрий
    3 лет назад

    1) ОС Rosa GNOME 12.2
    2) Да. Из репозитория

    Я извиняюсь. Попробовал на следующий день и получилось. Мне сначала надо было ввести в терминале sudo nautilus что бы можно было редактировать файл freshclam.conf , потом найти freshclam.conf в поиске и просто в конце открывшегося файла с новой строчки добавить ScriptedUpdates no
    PrivateMirror clmvupd.deltamoby.ru
    затем в терминале
    sudo freshclam -vvv
    и после пошло обновление

    А для дальнейшего обновления нужно удалять каждый раз БД и в терминале писать sudo freshclam -vvv?

    Image 1.png
    Олег
    Олег
    3 лет назад

    Дмитрий, спасибо вам огромное!
    После удаления старых баз все взлетело.

    Алексей
    Алексей
    3 лет назад

    Добрый день, у меня почему-то ругается:
    Tue Sep 6 12:31:47 2022 -> Reading CVD header (main.cvd): Tue Sep 6 12:31:47 2022 -> ERROR: remote_cvdhead: Unknown response from clmvupd.deltamoby.ru (IP: 88.84.222.213): HTTP/1.1 301
    Tue Sep 6 12:31:47 2022 -> WARNING: Can’t read main.cvd header from clmvupd.deltamoby.ru (IP: 88.84.222.213)

    Демона отключал, все равно ругается..
    Гугл говорит ошибка 301 — содержимое перенесено, хотя оно явным образом доступно.

    Вячеслав
    Вячеслав
    3 лет назад

    Спасибо огромное! Мое Вам уважение

    Антон
    Антон
    3 лет назад

    Сделал все по инструкции пошло вроде обновление но вылезли ошибки:
     *updatedb: Running g_cb_download_complete callback…
     *download_complete_callback: Download complete for database : /var/lib/clamav/tmp.81e568658a/clamav-1e99c12fc7cd980abc31e29a4c65e098.tmp-daily.cvd
     *download_complete_callback:  fc_context->bTestDatabases  : 1
     *download_complete_callback:  fc_context->bBytecodeEnabled : 1
     Testing database: ‘/var/lib/clamav/tmp.81e568658a/clamav-1e99c12fc7cd980abc31e29a4c65e098.tmp-daily.cvd’ …
     *Loading signatures from /var/lib/clamav/tmp.81e568658a/clamav-1e99c12fc7cd980abc31e29a4c65e098.tmp-daily.cvd
     !Database load killed by signal 9
     !Database test FAILED.
     *updatedb: callback failed: Test failed (8)
     !Unexpected error when attempting to update daily: Test failed
     !Database update process failed: Test failed
     !Update failed.

    Антон
    Антон
    Ответить на  Дмитрий
    3 лет назад

    я его затер котолог пустой

    Антон
    Антон
    Ответить на  Дмитрий
    3 лет назад

    каталог пустой там был файл какой то, с файлом обновление баз не происходило

    Андрей
    Андрей
    3 лет назад

    Спасибо, сделал по инструкции. Работает

    Alex
    Alex
    3 лет назад

    Подскажите, пожалуйста, у меня на CentOS7 установлен ClamAv 0.99.2-1.el7
    В папке /var/lib/clamav лежат файлы с расширением .cld
    У вас же файлы обновления с расширением .cvd
    В моем случае как обновиться? Где-то в конфиге нужно менять названия файлов?

    Пользователь
    Пользователь
    3 лет назад

    Большое спасибо

    Iharok
    Iharok
    3 лет назад

    Добрый день
    Подсунул себе ваш конфиг.

    Результат
    Tue Mar 14 10:37:57 2023 -> ClamAV update process started at Tue Mar 14 10:37:57 2023
    Tue Mar 14 10:37:57 2023 -> ^DNS Update Info disabled. Falling back to HTTP mode.
    Tue Mar 14 10:37:57 2023 -> Trying to retrieve CVD header from http://clmvupd.deltamoby.ru/daily.cld
    Time:  0.1s, ETA:  0.0s [========================>]   196B/196B
    Tue Mar 14 10:37:57 2023 -> ^remote_cvdhead: file not found: http://clmvupd.deltamoby.ru/daily.cld
    Tue Mar 14 10:37:57 2023 -> Trying to retrieve CVD header from http://clmvupd.deltamoby.ru/daily.cvd
    Time:  0.1s, ETA:  0.0s [========================>]   512B/512B
    Tue Mar 14 10:37:57 2023 -> OK
    Tue Mar 14 10:37:57 2023 -> daily.cld database is up-to-date (version: 26840, sigs: 2025662, f-level: 90, builder: raynman)
    Tue Mar 14 10:37:57 2023 -> Trying to retrieve CVD header from http://clmvupd.deltamoby.ru/main.cld
    Time:  0.2s, ETA:  0.0s [========================>]   196B/196B
    Tue Mar 14 10:37:57 2023 -> ^remote_cvdhead: file not found: http://clmvupd.deltamoby.ru/main.cld
    Tue Mar 14 10:37:57 2023 -> Trying to retrieve CVD header from http://clmvupd.deltamoby.ru/main.cvd
    Time:  0.2s, ETA:  0.0s [========================>]   512B/512B
    Tue Mar 14 10:37:57 2023 -> OK
    Tue Mar 14 10:37:57 2023 -> main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr)
    Tue Mar 14 10:37:57 2023 -> Trying to retrieve CVD header from http://clmvupd.deltamoby.ru/bytecode.cld
    Time:  4.6s, ETA:  0.0s [========================>]   196B/196B
    Tue Mar 14 10:38:02 2023 -> ^remote_cvdhead: file not found: http://clmvupd.deltamoby.ru/bytecode.cld
    Tue Mar 14 10:38:02 2023 -> Trying to retrieve CVD header from http://clmvupd.deltamoby.ru/bytecode.cvd
    Time:  0.1s, ETA:  0.0s [========================>]   512B/512B
    Tue Mar 14 10:38:02 2023 -> OK
    Tue Mar 14 10:38:02 2023 -> bytecode.cvd database is up-to-date (version: 334, sigs: 91, f-level: 90, builder: anvilleg)

    смущают строчки ^remote_cvdhead: file not found ) или это нормально?

    Iharok
    Iharok
    Ответить на  Дмитрий
    3 лет назад

    root@pmggg:~# freshclam —version
    ClamAV 0.103.8/26840/Mon Mar 13 10:22:58 2023

    Iharok
    Iharok
    Ответить на  Дмитрий
    3 лет назад

    Спасибо за ваш труд 🙂

    Revan
    Revan
    3 лет назад

    Добрый день!
    У Вас очень хорошая статья, разрешите пару вопросов для ясности? Я новичок, решил поднять proxmox mail gateway, там тоже используется ClamAV. После обновлений смущает 2 вещи:
    1) freshclamversion
    у меня версия 0.103. В сети видел уже 1.0. Как я понимаю, с обновлением БД сам антивирус не обновляется? Это отдельная процедура?
    2) После обновления баз захожу в вебморду и смотрю время сборки. Bytecode и daily стоят от 2023 года, а вот main от 2021 — это я неправильно базы обновил или так и должно быть?

    consta
    consta
    2 лет назад

    Спасибо, добрый человек!

    Venik
    Venik
    2 лет назад

    Спасибо за ваш труд !
    У меня при обновлении появляется такая ошибка, что с ней сделать?

    Error
    Downloading database patch # 26995…
    ERROR: Download failed (60) ERROR: Message: SSL peer certificate or SSH remote key was not OK
    ERROR: downloadPatch: Can’t download daily-26995.cdiff from https://clmvupd.deltamoby.ru/daily-26995.cdiff
    WARNING: Incremental update failed, trying to download daily.cvd
    ERROR: Download failed (60) ERROR: Message: SSL peer certificate or SSH remote key was not OK
    ERROR: Can’t download daily.cvd from https://clmvupd.deltamoby.ru/daily.cvd
    Giving up on https://clmvupd.deltamoby.ru
    ERROR: Update failed for database: daily
    ERROR: Database update process failed: Connection failed

    Venik
    Venik
    Ответить на  Дмитрий
    2 лет назад

    при автоматическом обновлении

    Venik
    Venik
    Ответить на  Дмитрий
    2 лет назад

    error
    Current working dir is /var/lib/clamav/
    check_for_new_database_version: No local copy of «daily» database.
    query_remote_database_version: daily.cvd version from DNS: 27066
    daily database available for download (remote version: 27066)
    Retrieving https://pivotal-clamav-mirror.s3.amazonaws.com/daily.cvd
    downloadFile: Download source:   https://pivotal-clamav-mirror.s3.amazonaws.com/daily.cvd
    downloadFile: Download destination: /var/lib/clamav//tmp.83eba5b244/clamav-56b36fde8815b0ff3dd9a9a8e78f9546.tmp
    *  Trying 52.216.177.219:443…
    * Connected to pivotal-clamav-mirror.s3.amazonaws.com (52.216.177.219) port 443 (#0)
    * ALPN, offering h2
    * ALPN, offering http/1.1
    * successfully set certificate verify locations:
    * CAfile: /etc/ssl/certs/ca-certificates.crt
    * CApath: /etc/ssl/certs
    * SSL certificate problem: self signed certificate in certificate chain
    * Closing connection 0
    Вот что выводит

    Venik
    Venik
    Ответить на  Дмитрий
    2 лет назад

    ClamAV 0.103.8/27066/Thu Oct 19 10:45:47 2023

    Александр
    Александр
    2 лет назад

    Добрый день! Выкачал файлы обновления вручную.

    То есть вроде как базы новые, но при запуске сервера вот что:

    Александр
    Александр
    Ответить на  Дмитрий
    2 лет назад

    Спасибо, это не помогло. Видимо, версия самого антивируса слишком древняя (2014 год), нужно обновлять

    Павел
    Павел
    2 лет назад

    благодарочка!!!