ClamAV обновление антивирусных баз

Средний рейтинг
5 из 5 звезд. 15 голосов.
Мой рейтинг:

Всем привет.

Предисловие.

С недавнего времени, в связи с событиями на Украине, товарищи из Cisco, которым принадлежит ClamAV, органичили доступ к серверам с базами определения вирусов с российских IP-адресов. Соответственно, антивирус не может достучаться до серверов с обновлениями и скачать БД.

Вот ссылка на Хабр с новостью.

Столкнулся с проблемой на рабочих серверах. Там Ubuntu 20.04.4 LTS.

Для себя выкачал БД с определениями вирусов – 16.03.2022 – и далее буду добавлять.

БД доступны по ссылке.

P.S. Приношу свои извинения, но пришлось закрыть паролем, т.к. боты задолбали. Пароль: 1d7Yir/E*@\$D

Обновление вручную.

Как обновить БД на сервере:

0) проверить версию БД:

или вот такой командой:

или еще вот так:

1) по SSH передать скачанные файлы на сервер, где установлен ClamAV,

2) перейти в каталог с файлами БД:

3) переименовать старые БД (имена приведены для примера):

4) переместить полученные по SSH файлы в этот каталог

5) установить пользователя и группу на эти файлы:

6) снова проверить версию БД:

Определения вирусов обновлены.

P.S. Старые файлы с БД лучше переместить в другое место или удалить вовсе.

Автоматическое обновление.

Если качать вручную лень, а сервер имеет доступ в Интернет, то можно настроить зеркало для обновления БД.

Для этого надо отредактировать freshclam.conf (у меня он находится по пути /usr/local/etc/):

изменить
ScriptedUpdates yes –> ScriptedUpdates no

добавить
PrivateMirror clmvupd.deltamoby.ru

freshclam.conf

[свернуть]

после этого выполнить:

У меня вот такой вывод:

freshclam -vvv

[свернуть]

Immunet – антивирус для Windows.

Так же, как временное решение, установил вот такой антивирус. Я им давно пользуюсь, но не везде, в основном на не оч критичных машинах.

Это антивирус на всё том же ClamAV, утилита для обновления – freshclam.

Настройка:

1)  После установки необходимо установить службу Immunet 7.5.0

Immunet service

2 ) Файл конфигурации freshclam.conf находит по пути:

C:\Program Files\Immunet\clamav\0.103.2.18

его открыть в редакторе, например, “блокнот”, но только с повышенными привилегиями (от имени администратора).

В файлик добавить строку:

PrivateMirror clmvupd.deltamoby.ru

Если кто-то находится за прокси, то это самое прокси можно добавить (тут в качестве примера):

HTTPProxyServer 192.168.1.14
HTTPProxyPort 3128

freshclam.conf

! Обратите внимание, что Immunet сам определяет параметр прокси, если он задан в системе!

После перезагрузки ПК, указанный прокси исчезает из файла конфигурации, возможно связано с тем, что он использует системный параметр прокси.

Для запуска обновления, запустить cmd или powershell от имени администратора, перейти в каталог C:\Program Files\Immunet\clamav\0.103.2.18 и запустить freshclam.exe

powershell freshclam.exe

После этого посмотреть в главное окне программы, что базы обновлены

Immunet

UPDATE

Т.к. файлы bytecode.cvd и main.cvd всегда одни и теже в последнее время, то я выкладываю только daily.cvd

bytecode.cvd ClamAV-VDB:08 Mar 2021 10-21
main.cvd ClamAV-VDB:16 Sep 2021 08-32

Если кого-то это смущает или тревожит, то эти два файла вы можете выкачать по прямой ссылке отсюда:

прямые ссылки

bytecode.cvd

main.cvd

[свернуть]

либо по ссылке выше в каталоге “old”.

Но достаточно просто выкачать daily.cvd и его подменить.

Всем спасибо!

If you found an error, highlight it and press Shift + Enter or to inform us.

Avatar photo

Дмитрий

родился, учился, работаю-учусь

5 1 голос
Рейтинг статьи
Подписаться
Уведомить о
guest
32 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
sokol116
sokol116
7 месяцев назад

Вот спасибо! Очень полезно, я то я уже расстроиться успел. Все четко, обновления работают

Илья
Илья
7 месяцев назад

Спасибо Вам, добрый человек!

johnny
johnny
6 месяцев назад

Добрый день!

Подскажите, пожалуйста, на файл bytecode.cvd нужно менять пользователя и группу и работает ли обновление сейчас?

johnny
johnny
6 месяцев назад

Спасибо за оперативный ответ!

Да, пользователь есть такой, в Вашей инструкции меняем для daily.cvd и main.cvd, про bytecode.cvd не написано, поэтому и спросил.

Вчера закинул файлы баз на свой сервер, все хорошо.
С Вашего зеркала [PrivateMirror https://clmvupd.deltamoby.ru] можно качать обновления?

johnny
johnny
Ответить на  Дмитрий
6 месяцев назад

Спасибо!

Антон
Антон
5 месяцев назад

Добрый день.
Не качает базы так как не видит файл
http://clmvupd.deltamoby.ru/main.cld.

Антон
Антон
5 месяцев назад

Большое спасибо автору за старания!

Алекс
Алекс
4 месяцев назад

Добрый день!
Запускаю обновление с Вашего сервера, но получаю отказ. Можете подсказать в чем может быть дело?

Tue Jul 12 11:07:39 2022 -> *Current working dir is /var/lib/clamav/
Tue Jul 12 11:07:39 2022 -> *Loaded freshclam.dat:
Tue Jul 12 11:07:39 2022 -> * version: 1
Tue Jul 12 11:07:39 2022 -> * uuid: fef3e2ba-d2e6-4865-a621-05171d10fba9
Tue Jul 12 11:07:39 2022 -> * retry-after: 2022-07-12 15:30:28
Tue Jul 12 11:07:39 2022 -> ClamAV update process started at Tue Jul 12 11:07:39 2022
Tue Jul 12 11:07:39 2022 -> *Current working dir is /var/lib/clamav/
Tue Jul 12 11:07:39 2022 -> ^DNS Update Info disabled. Falling back to HTTP mode.
Tue Jul 12 11:07:39 2022 -> ^FreshClam previously received error code 429 or 403 from the ClamAV Content Delivery Network (CDN).
Tue Jul 12 11:07:39 2022 -> This means that you have been rate limited or blocked by the CDN.
Tue Jul 12 11:07:39 2022 -> 1. Verify that you’re running a supported ClamAV version.
Tue Jul 12 11:07:39 2022 -> See https://docs.clamav.net/faq/faq-eol.html for details.
Tue Jul 12 11:07:39 2022 -> 2. Run FreshClam no more than once an hour to check for updates.
Tue Jul 12 11:07:39 2022 -> FreshClam should check DNS first to see if an update is needed.
Tue Jul 12 11:07:39 2022 -> 3. If you have more than 10 hosts on your network attempting to download,
Tue Jul 12 11:07:39 2022 -> it is recommended that you set up a private mirror on your network using
Tue Jul 12 11:07:39 2022 -> cvdupdate (https://pypi.org/project/cvdupdate/) to save bandwidth on the
Tue Jul 12 11:07:39 2022 -> CDN and your own network.
Tue Jul 12 11:07:39 2022 -> 4. Please do not open a ticket asking for an exemption from the rate limit,
Tue Jul 12 11:07:39 2022 -> it will not be granted.
Tue Jul 12 11:07:39 2022 -> ^You are still on cool-down until after: 2022-07-12 15:30:28

Алекс
Алекс
Ответить на  Дмитрий
4 месяцев назад

Проверил, все корректно. Меня последняя строчка смущает в логе. Словно меня забанили. но кто?

Алекс
Алекс
Ответить на  Дмитрий
4 месяцев назад

Тот же результат. Подожду до 15-30 значит

вот конфиг:

Спойлер

DatabaseOwner clamav
UpdateLogFile /var/log/clamav/freshclam.log
LogVerbose true
LogSyslog false
LogFacility LOG_LOCAL6
LogFileMaxSize 0
LogRotate true
LogTime true
Foreground false
Debug true
MaxAttempts 5
DatabaseDirectory /var/lib/clamav
DNSDatabaseInfo current.cvd.clamav.net
ConnectTimeout 60
ReceiveTimeout 60
TestDatabases yes
ScriptedUpdates no
PrivateMirror clmvupd.deltamoby.ru
CompressLocalDatabase no
Bytecode true
#NotifyClamd /etc/clamav/clamd.conf
# Check for new database 24 times a day
Checks 24
DatabaseMirror db.local.clamav.net
DatabaseMirror database.clamav.net

Алекс
Алекс
Ответить на  Дмитрий
4 месяцев назад

Все, пошло обновление.
Что я сделал: удалил все файлы в /var/lib/clamav/
Видимо где-то там и прописана локальная блокировка получения обновлений

Сейчас процесс обновления идет полным ходом. Спасибо!

Артур
Артур
4 месяцев назад

Пишу в терминале команду sudo nano /usr/local/etc/freshclam.conf и в ответ открывается пустой новый файл в терминале. Открывал с помощью поиска freshclam.conf, но там нет ScriptedUpdates yes. И выглядит он по-другому, не как на скриншоте.

Артур
Артур
Ответить на  Дмитрий
4 месяцев назад

1) ОС Rosa GNOME 12.2
2) Да. Из репозитория

Я извиняюсь. Попробовал на следующий день и получилось. Мне сначала надо было ввести в терминале sudo nautilus что бы можно было редактировать файл freshclam.conf , потом найти freshclam.conf в поиске и просто в конце открывшегося файла с новой строчки добавить ScriptedUpdates no
PrivateMirror clmvupd.deltamoby.ru
затем в терминале
sudo freshclam -vvv
и после пошло обновление

А для дальнейшего обновления нужно удалять каждый раз БД и в терминале писать sudo freshclam -vvv?

Image 1.png
Олег
Олег
3 месяцев назад

Дмитрий, спасибо вам огромное!
После удаления старых баз все взлетело.

Алексей
Алексей
2 месяцев назад

Добрый день, у меня почему-то ругается:
Tue Sep 6 12:31:47 2022 -> Reading CVD header (main.cvd): Tue Sep 6 12:31:47 2022 -> ERROR: remote_cvdhead: Unknown response from clmvupd.deltamoby.ru (IP: 88.84.222.213): HTTP/1.1 301
Tue Sep 6 12:31:47 2022 -> WARNING: Can’t read main.cvd header from clmvupd.deltamoby.ru (IP: 88.84.222.213)

Демона отключал, все равно ругается..
Гугл говорит ошибка 301 – содержимое перенесено, хотя оно явным образом доступно.

Вячеслав
Вячеслав
1 месяц назад

Спасибо огромное! Мое Вам уважение