Messages

Hi, on the download tab You can change it for a ruleset from alert to drop.

Cheers, Stephan

@Michael

Hast Du opnsense auf hyper-v oder ähnlichem laufen?
Franco meinte, dass es eigentlich keinen Unterschied machen sollte, ob man den opnsense-port selber compiliert oder eben den vorcompilierten benutzt...

Kommt das auch wenn du die Datei über CLI scannst?

Du meinst automatisiert beim Download von einem Clientrechner?
Dadurch ist mir das erst aufgefallen, weil ich gerade relativ zeitnah eingeloggt war und clamd nicht mehr gelaufen ist - habs dann zum Glück anhand des Zeitstempels im Squidlog nachvollziehen können was der Auslöser war.

Bitte check mal den system.log.

Bei mir kam:

Oct 12 11:13:56 OPNsense kernel: pid 35508 (clamd), uid 106: exited on signal 11


Und beim Neustart von clamd:

Oct 12 11:16:41 OPNsense kernel: [HBSD SEGVGUARD] [clamd (20457)] Suspension expired.
Oct 12 11:16:41 OPNsense kernel: -> pid: 20457 ppid: 19749 p_pax: 0x450<SEGVGUARD,ASLR,DISALLOWMAP32BIT>

Hi - danke!
--> also hast Du die Datei gescanned?
die Meldungen sahen bei mir ähnlich aus (SEGVGUARD soll verhindern, dass Programme zu oft hintereinander crashen und neu gestartet werden - scheint sich aber auf eine ältere PID zu beziehen?)

Das würde also heißen, das was mit der clam-av Package nicht passt!

1/2 zusätzliche Bestätigungen wären super!

Danke!

[squid/c-icap/clamd]

Hallo Zusammen,

wir haben ein Problem mit clamd - ist neulich bei einem scan von der Datei  http://downloads.music-group.com/software/behringer/X32/Behringer_XUF_USB_Drv_V6_13_0_arch_signed.zip gecrashed mit signal 11.

Ich kann das nach einem Systemneustart reproduzieren - bei einem Neustart von clamd & c-icap tritt das Problem nur sporadisch auf.
Generell funktioniert clamd - hab auch größere zip-Dateien problemlos scannen können.
Ich hab das (wohl etwas voreilig) bereits im bug report von clamav.net geposted.

Momentan bin ich am beobachten - ich hab mir die freebsd ports freigeschaltet und clam-av neu kompiliert und installiert - bis jetzt kann ich den crash nicht reproduzieren.

Daher meine Bitte um Unterstützung ob jemand mit squid/c-icap/clamd Installation bitte mal testen kann, ob bei ihm auch clamd crashed, wenn er diese Datei scanned?

Zum Testen hab ich die Datei mit fetch lokal auf die FW geladen und mit

Code Select Expand

clamdscan --verbose ./Behringer_XUF_USB_Drv_V6_13_0_arch_signed.zip
gescanned.

Falls bei Euch auch clamd crashed liegt es wohl an dem vorcompilierten clam-av Port.

Danke für Eure Hilfe!

Cheers,

Stephan

Hi there,

I have a problem with clamd. We've installed squid with c-icap and clam-av.
Last time there was a zip download from http://downloads.music-group.com/software/behringer/X32/Behringer_XUF_USB_Drv_V6_13_0_arch_signed.zip
Clamd crashed while scanning this file with signal 11. We can reproduce this @least after a clean reboot. When restarting clamd and c-icap most of the times it's working.
I already reported this at clamav.net bug report.
Meanwhile I've installed the freebsd ports and recompiled clam-av. At moment it seems to work - I still have to watch this.

So my question is if there's someone with a squid/c-icap/clamd setup who could help me to test if his scanner also fails with this file?
That would be really helpful!

Thanx & cheers,  Stephan

[Edit]: I locally downloaded the file to the fw and do the scans at the console with

Code Select Expand

clamdscan --verbose ./Behringer_XUF_USB_Drv_V6_13_0_arch_signed.zip

Was mir grad noch spontan einfällt: lädst Du die Testdateien über https und wenn ja, hast Du das im Squid aktiviert?
Also irgendwas muss ja bei der Konfiguration verquer sein, weil mit dem Eicar Test hatten wir noch nie Probleme - nur eben nicht mit https, weil wir das (noch?) nicht mit squid abfangen.

Gruß,

Stephan

[/usr/local/etc/c-icap/virus_scan.conf]

Ok, after some diggin I found this in the /usr/local/etc/c-icap/virus_scan.conf

Code Select Expand

ServiceAlias  avscan virus_scan?allow204=on&sizelimit=off&mode=simple


According to http://c-icap.sourceforge.net/install.html
sizelimit=off means:
sizelimit=off to ignore srv_clamav.MaxObjectSize directive in c-icap.conf file

...

Is this the Problem?

Cheers, Stephan

EDIT: Just tested it by removing &sizelimit=off and the big file download started correctly by the browser (used http://speed.hetzner.de/ )

Hi,

I think we need to reopen this... just ran into the same issue - testfile download of 10gb and it was stored locally to /var/tmp/CI_TMPxxx... though the max file size was set to 5mb in cicap

any help appreciated!

Cheers, Stephan

Edit:
Tue Oct  3 16:56:59 2017, 37144/3376520192, Cannot write to file: No space left on device

[TAP]

Unfortunately, only the physical interfaces are listed as possible members when creating a bridge. Neither Openvpn nor IPSEC interfaces/tunnels are listed in any way... I am running 17.7.4 btw

Hi, well - meanwhile You got it running^^ *thumbsup*
nevertheless I wonder why You don't see the TAP interface? <-- it's only working with a TAP configuration in openVPN

Cheers, Stephan

Example for FILE CONTENT
https://mmonit.com/monit/documentation/monit.html#FILE-CONTENT-TEST

Example for scanning C-ICAP log for errors connecting to clamd

Test-condition: 

Code Select Expand

content = "(Registry 'virus_scan::engines' does not exist)|(clamd_connect: Can not connect to clamd server)" for 2 cycles

Service:

Code Select Expand

Service-Type: FILE

Code Select Expand

Path: /var/log/c-icap/server.log

In this case I used a script to start CLAMD and to restart C-ICAP afterwards:

Code Select Expand

#!/bin/sh

/usr/local/etc/rc.d/clamav-clamd start
sleep 5
/usr/local/etc/rc.d/c-icap restart


The Start and Stopp script entries for the service require a parameter like start, stop, restart - one can append it even though it's not used

Probably a bit late...?  :D
...but here someone just posted smthing : https://forum.opnsense.org/index.php?topic=6072.0

Another approach would be to set up openVpn with tap and bridge the lan device with the tap device.
You then can assign an additional dhcp segment in the openVpn settings or leave it blank and the clients will get leases from them default dhcp settings.

So the openVpn clients are directly connected to Your lan (bridge) - in addition You will have to set up the bridge with the settings You used for the lan, as this is our new lan device.

Cheers,

Stephan

Ok, wollte es mal testen - aber das is mir grad zu aufwändig^^ - sorry
eine Bedingung ist ja

Code Select Expand

$EXTERNAL_NET any -> $HOME_NET any oder
$EXTERNAL_NET any -> $HTTP_SERVERS any
und außerdem

Code Select Expand

flow:to_server,established;


also eine Bestehende Verbindung und der Befehl kommt dann von außen...

Ok - sry - im Browser wurde es nicht angezeigt  ???

Allerdings werde ich aus dem nicht so ganz schlau, weil der content nun nicht wirklich aussagekräftig ist...

Code Select Expand

content:"information_schema";