■ClamAVが更新された。
$ lv -s /usr/share/doc/clamav-base/changelog.Debian.gz | head -5
clamav (0.97.6+dfsg-1~squeeze1) stable; urgency=low
* New upstream release (Closes: #689487)
* Update libclamav6 lintian override to match updated soversion
Debian Lennyにclamavを導入。EICARチェック
http://labunix.hateblo.jp/entry/2012/02/01/225957
Squeezeにclamavを導入。EICARチェック
http://d.hatena.ne.jp/labunix/20120423
■奇形/切り詰められた書式のような壊れたファイル/データをチェックできないバグを修正したということでしょうか。。。
奇形、切り詰められる原因は圧縮ファイルの解凍処理にあるようです。
壊れたファイル/データが再スキャンをブロック(この場合はエラーによりスキャンを中断)させていたようです。
LZX-compression(Word/Excel/PDF)?
私のサーバ環境にあるドキュメントはPDFが該当しますが、
特にエラー報告メールやスキャンログもありませんでした。
■直訳すると。。。
他のエラーは以下の更なるスキャンをブロックしてはならない。
特別にインクルードされた「CL_EFORMAT & CL_EREAD & CL_EUNPACK」
奇形/切り詰められたファイルをこれらの3つのうちのどれとしても報告することができます。
$ w3m -dump http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg1068957.html | \
nl | grep -A 9 "Other"
285 + /* Other errors must not block further scans below
286 + * This specifically includes CL_EFORMAT & CL_EREAD & CL_EUNPACK
287 + * Malformed/truncated files could report as any of these three.
288 + */
289 default:
290 - ret_from_magicscan(ret);
291 + ret = res;
292 + cli_dbgmsg("Descriptor[%d]: Continuing after cli_scanraw error %s\n",
293 + desc, cl_strerror(res));
294 }
■元のバグ報告はこれですね。
CL_EFORMAT: Bad format or broken data ERROR
http://forums.clamwin.com/viewtopic.php?t=3621
Bug 5252 - CL_EFORMAT: Bad format or broken data ERROR reported as scan result
https://bugzilla.clamav.net/show_bug.cgi?id=5252
■なるほど、エラーで終了して、レポートは出すという状況もあるのか。。。
ということで上記「Squeezeにclamavを導入。EICARチェック」に置いたスクリプトの以下の箇所を修正。
- clamscan --infected --remove --recursive ${list} >> ${CHECKLOG}
+ clamscan --infected --remove --recursive ${list} >> ${CHECKLOG} 2>&1
■スプールメールチェック
空だったw。。。
$ sudo clamscan -r /var/spool/mail
/var/spool/mail/labunix: Empty file
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 1
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 4.590 sec (0 m 4 s)
■プロキシのキャッシュファイルチェック
$ sudo clamscan -r /var/spool/squid 2>&1 | tail -10
/var/spool/squid/00/2C/00002C6D: OK
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 4148
Scanned files: 5989
Infected files: 0
Data scanned: 69.03 MB
Data read: 68.26 MB (ratio 1.01:1)
Time: 28.648 sec (0 m 28 s)
■PDFを検索、clamavでチェック。
$ find . -type f -iname "*.pdf" -exec clamscan {} \; 2>&1 | tee pdf_clamscan.log
./mymedia/win/pdf/ixeshe_wp_20120530.pdf: OK
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 9.26 MB
Data read: 3.61 MB (ratio 2.56:1)
Time: 5.916 sec (0 m 5 s)
.win/pdf/bvps_office2007.pdf: OK
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 1.01 MB
Data read: 0.28 MB (ratio 3.63:1)
Time: 4.710 sec (0 m 4 s)
.win/pdf/lesson12.pdf: OK
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.85 MB
Data read: 0.16 MB (ratio 5.32:1)
Time: 4.690 sec (0 m 4 s)
.win/pdf/bvps_office2007_tco.pdf: OK
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.85 MB
Data read: 0.25 MB (ratio 3.35:1)
Time: 4.669 sec (0 m 4 s)
...
■特に問題なし。
バグも修正されているわけですし、これで様子を見ましょう。。。
■EICARチェックもOK。
$ cd /tmp;sudo wget http://www.eicar.org/download/eicar_com.zip;md5sum eicar_com.zip
6ce6f415d8475545be5ba114f208b0ff eicar_com.zip
$ clamscan /tmp/
/tmp/eicar_com.zip: Eicar-Test-Signature FOUND
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 1
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 4.609 sec (0 m 4 s)
$ su root -c 'clamscan --infected --remove --recursive /tmp'
/tmp/eicar_com.zip: Eicar-Test-Signature FOUND
/tmp/eicar_com.zip: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 1316669
Engine version: 0.97.6
Scanned directories: 4
Scanned files: 3
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 4.606 sec (0 m 4 s)
■CPUを結構使う。使ってない時間帯に余り変わらないけど以下で対処。
※優先度を下げてバックグラウンド実行、コンソール表示をしない。
$ nice -n 19 find . -type f -iname "*.pdf" -exec clamscan {} \; >> pdf_clamscan.log 2>&1 &