Запускаю clamd с дебаггингом:
Bound to address 127.0.0.1 on tcp port 3310
Setting connection queue length to 15
Unix socket file /var/run/clamav/clamd.sock
Setting connection queue length to 15
Listening daemon: PID: 46155
Archive: Archived file size limit set to 10485760 bytes. Archive: Recursion level limit set to 8. Archive: Files limit set to 1000. Archive: Compression ratio limit set to 250.Archive support enabled.
OLE2 support enabled. PDF support disabled. HTML support enabled.
./clamav-cgp -d 127.0.0.1
1 file qqq.qqq
В логах clamd:
LibClamAV debug: Recognized MBox file LibClamAV debug: Starting cli_scanmail(), mrec == 1, arec == 0 LibClamAV debug: in mbox() LibClamAV debug: Recognized Raw mail file LibClamAV debug: blobSetFilename: Test.dat LibClamAV debug: fileblobSetFilename:
LibClamAV debug: Extract attachments from email 1 LibClamAV debug: parseEmailHeaders LibClamAV debug: parseEmailHeaders: check 'From<>(______________-000000000031) 11-01-2008_07:14:36_' LibClamAV debug: rfc822comments: contains a comment LibClamAV debug: rfc822comments 'From <>(______________-000000000031) 11-01-2008_07'=>'From <> 11-01-2008_07'
LibClamAV debug: parseEmailHeaders: check 'To: root@mail.domain.com' LibClamAV debug: parseEmailHeaders: check 'Subject: Testing' LibClamAV debug: parseEmailHeaders: check '' LibClamAV debug: End of header information LibClamAV debug: newline_in_header, check "end" LibClamAV debug: parseEmailHeaders: inished with headers, moving body LibClamAV debug: parseEmailHeaders: return LibClamAV debug: in parseEmailBody, 0 files saved so far LibClamAV debug: Parsing mail file LibClamAV debug: mimeType = 0 LibClamAV debug: Not a mime encoded message LibClamAV debug: messageToBlob LibClamAV debug: messageExport: numberOfEncTypes == 0 LibClamAV debug: messageExport: Entering fast copy mode LibClamAV debug: Unencoded attachment sent with no filename LibClamAV debug: messageAddArgument, arg='name=attachment' LibClamAV debug: Force mime encoding to application LibClamAV debug: messageSetMimeType: 'application' LibClamAV debug: blobSetFilename: attachment LibClamAV debug: getHrefs: calling html_normalise_mem LibClamAV debug: getHrefs: html_normalise_mem returned LibClamAV debug: blobDestroy LibClamAV debug: Saving text part to scan, rc = 1 LibClamAV debug: messageAddArgument, arg='filename=textportion' LibClamAV debug: messageToFileblob LibClamAV debug: messageExport: numberOfEncTypes == 0 LibClamAV debug: messageExport: Entering fast copy mode LibClamAV debug: blobSetFilename: textportion LibClamAV debug: fileblobSetFilename:
LibClamAV debug: textToFileBlob to textportion, destroy = 1 LibClamAV debug: Saving main message LibClamAV debug: fileblobScan, ctx == NULL LibClamAV debug: fileblobDestroy:
LibClamAV debug: parseEmailBody() returning 1 LibClamAV debug: cli_mbox returning 0 LibClamAV debug: Eicar-Test-Signature found in descriptor 13
То есть в ручном режиме все работает.
Теперь то же самое через CGP uuencode /var/CommuniGate/elcar.com Test.dat| mailx -s 'Testing' root
В логах CGP 12:54:52.281 2 QUEUE([70008]) from <root@mail.domain.com>, 941 bytes (<200801110954.m0B9spLm046161@mail.domain.com>)
12:54:52.281 4 EXTFILTER(avir-clamav) out(23): 6 FILE Queue/70008.msg\n
12:54:52.284 4 EXTFILTER(avir-clamav) inp(4): 6 OK
12:54:52.285 2 QUEUE([70008]) enqueued
12:54:52.288 2 MAILBOX(postmaster/INBOX) {40} appended @220783:
59+795(0) bytes
12:54:52.288 2 MAILBOX(postmaster/INBOX) [70008] stored as 40 12:54:52.288 2 ACCOUNT(postmaster) [70008] delivered 12:54:52.288 2 DEQUEUER [70008] LOCAL(postmaster) delivered: Deliveredto the user mailbox
В логах clamd - НИЧЕГО.
На 3310 порту во всех случаях трафик есть, порты в каждой сессии разные, но постоянные в пределах одной сессии.
А что это за "эфемерный порт"? Ничего такого в логах не видать. Просто голова кругом.
Dmitry Baronov пишет:
> Продолжаю мучения. Логи CGP показывают полное счастье: > > > 11:37:15.398 5 EXTFILTER(avir-clamav) ENQUEUER-1 starting initialization > 11:37:15.398 4 EXTFILTER(avir-clamav) out(9): 1 INTF 3\n > 11:37:15.398 4 EXTFILTER(avir-clamav) inp(8): 1 INTF 2 > 11:37:15.399 2 EXTFILTER(avir-clamav) interfaceLevel = 2 > 11:37:15.399 2 EXTFILTER(avir-clamav) inited > 11:37:15.399 4 EXTFILTER(avir-clamav) out(23): 2 FILE Queue/70001.msg\n > 11:37:15.403 4 EXTFILTER(avir-clamav) inp(4): 2 OK > 11:37:15.403 5 EXTFILTER(avir-cgpav) ENQUEUER-1 starting initialization > 11:37:15.403 4 EXTFILTER(avir-cgpav) out(9): 1 INTF 3\n > 11:37:15.403 4 EXTFILTER(avir-cgpav) inp(8): 1 INTF 2 > 11:37:15.404 2 EXTFILTER(avir-cgpav) interfaceLevel = 2 > 11:37:15.404 2 EXTFILTER(avir-cgpav) inited > 11:37:15.404 4 EXTFILTER(avir-cgpav) out(23): 2 FILE Queue/70001.msg\n > 11:37:16.407 4 EXTFILTER(avir-cgpav) inp(4): 2 OK > 11:37:16.407 2 QUEUE([70001]) enqueued > 11:37:16.410 2 MAILBOX(postmaster/INBOX) {36} appended @217367: > 59+795(0) bytes > 11:37:16.410 2 MAILBOX(postmaster/INBOX) [70001] stored as 36 > 11:37:16.410 2 ACCOUNT(postmaster) [70001] delivered > 11:37:16.410 2 DEQUEUER [70001] LOCAL(postmaster) delivered: Delivered > to the user mailbox > 11:37:16.410 2 QUEUE([70001]) deleted > > Но судя по дебаггингу, обращений к clamd при этом НЕТ ВООБЩЕ. > Когда запускаю cgpav и clamav-cgp руками из командной строки, тогда все > работает как надо. В чем засада?? > > > > Dmitry Baronov пишет: >> Все настроил, но получилась какая-то фигня. Скармливаю в CGP тестовое >> письмо с elcar.com - плагины (и cgpav и clamav-cgp), судя по логам >> CGP, отрабатывают письмо и возвращают OK, то есть вирус пропускают. В >> логах clamav при этом чисто. В ручном режиме оба эти плагина вирус в >> том же письме ловят, в логах clamav тоде есть запись. Freebsd, усер >> clamd в группе mail, пробовал запускать clamd из-под рута, тоже ничего >> не меняется. Где я лоханулся? >> >> >> Victor Sudakov пишет: >>> Dmitry Baronov wrote: >>>> Подскажите, други, с какими параметрами енто чудо должно запускаться >>>> как >>> >>> Запускаю как "Plugins/clamav-cgp -d x.x.x.x -s" >>> где x.x.x.x - IP адрес сервера, где собственно запущен clamd. >>> >>>> хелпер и какие параметры в clamd.conf для работы с ним критичны? >>> >>> TCPSocket не забыть раскомментировать. >>> Ещё я переопределял StreamMinPort и StreamMaxPort для удобства >>> настройки МСЭ. >>> >> >> >> ################################################################## >> Вы получили это сообщение потому, что подписаны на список рассылки >> <CGatePro@mx.ru>. >> >> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> >> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru> >> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru> >> Для административных запросов адрес <CGatePro-request@mx.ru> >> Архив списка: http://mx.demos.su/lists/cgp-russian/ >> >> >> > > > ################################################################## > Вы получили это сообщение потому, что подписаны на список рассылки > <CGatePro@mx.ru>. > > Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> > Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru> > Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru> > Для административных запросов адрес <CGatePro-request@mx.ru> > Архив списка: http://mx.demos.su/lists/cgp-russian/ > > >Получено Fri Jan 11 10:09:54 2008
Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:15:57 MSK