Регистрация...

Eserv Forum / Plugins / Antivirus / acFilter+ClamWin

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Доброе время суток.
Столкнулся с такой проблемой. acFilter не видит установленный в системе ClamWin (ClamAV). В настройках сервера поставил галочку — результат ноль. Залез в E4.ini и там ручками в [AntivirusClamAV] прописал путь к папке и запускающим файлам ClamWin-а — результат ноль. Ноль — это значит при запуске acFilter-а в соответствующей строке, напротив ClamAV, стоит ноль. Как заставить их подружится?
И можно ли acFilter "подружить" с KAV6?
 
Комментарии к этой версии (06.08.2010 04:54) [~Dysha] 1145d79b
АвторДатаТекстtags
ac06.08.2010 07:14
Dysha пишет: acFilter не видит установленный в системе ClamWin (ClamAV).

Постановка вопроса говорит о том, что вы не разобрались в версиях ClamAV/ClamWin — это совершенно разные программы, не имеющие ничего общего кроме четырех байтов "Clam". ЧистА маркетинг См. здесь. Ищите версию ClamAV, включающую в себя серверный процесс ClamD. Когда не найдёте (для Windows), то загляните сюда: http://www.eserv.ru/EservClamav А если найдёте, то это я уже отстал от жизни. Тогда просто запустите ClamD, и acFilter его увидит.

Dysha пишет: И можно ли acFilter "подружить" с KAV6?

Eserv дружит со всеми версиями серверных API KAV, выпущенных с 2002 года — KLAV, KAVSS и KAVE. Возможности интеграции с вариантами клиентских библиотек (если эта интеграция вообще возможна) KL для "OEM" не предоставляет.

Если говорить о поддержке более широкого набора антивирусных API (в которых Eserv и без того мировой рекордсмен , то есть еще возможность интеграции со многими "персональными" версиями различных антивирусов на уровне виндового API IOfficeAntiVirus (антивирусы реализуют его для интеграции с Windows) — я в мае реализовал поддержку этого API для Eserv и испытал с Нортоном, WindowsDefender, MicrosoftSecurityEssentials и др., но у этого варианта масса технических проблем (антивирусы с этим API не умеют анализировать почтовые форматы; исключение каталогов Eserv из проверки резидентом одновременно исключает те же каталоги и из проверки этим API; и др.), не говоря уж о лицензионных.
wikipost
Dysha09.08.2010 04:27
Понял. Спасибо. Будем искать...
wikipost
dima-irk3823.08.2010 05:37
ac пишет: Постановка вопроса говорит о том, что вы не разобрались в версиях ClamAV/ClamWin — это совершенно разные программы, не имеющие ничего общего кроме четырех байтов "Clam". ЧистА маркетинг См. здесь. Ищите версию ClamAV, включающую в себя серверный процесс ClamD. Когда не найдёте (для Windows), то загляните сюда: http://www.eserv.ru/EservClamav А если найдёте, то это я уже отстал от жизни. Тогда просто запустите ClamD, и acFilter его увидит.

Скачал и установил, но при ручном обновлении выдает ошибку о необходимости скачать более свежую версию ClamAv, которая не поддерживает серверный процесс ClamD.exe.
Как обойти эту проблему? Возможно ли скачивать обновление сигнатур, а то текущие от 20.12.2007. Ведь без обновлений антивирус практически бесполезен.
wikipost
ac23.08.2010 15:37
Да, без обновлений бесполезен. Наша версия (freshclam.exe от 12 февраля 2008), хоть и ругалась периодически на старость, обновлялась вроде нормально. На сервере eserv.ru ClamAV был отключен в ноябре прошлого года, сейчас запустил, обновление работает:

ClamAV update process started at Mon Aug 23 16:15:12 2010 ... Trying host database.clamav.net (62.181.33.229)... Downloading daily.cvd [100%] daily.cvd updated (version: 11622, sigs: 113579, f-level: 53, builder: arnaud) WARNING: Your ClamAV installation is OUTDATED! WARNING: Current functionality level = 27, recommended = 53 DON'T PANIC! Read http://www.clamav.net/support/faq Database updated (818306 signatures) from database.clamav.net (IP: 62.181.33.229)


Но после обновления ClamD не запустился, говорит изменился формат баз, требует версию 0.95. Посмотрел на их сайте, "Starting from 15 April 2010 our CVD will contain a special signature which disables all clamd installations older than 0.95 – that is to say older than 1 year."

По поводу обновлений БД и новых версий ClamAV обращаться лучше к разработчикам ClamAV. А здесь имеет смысл обсуждать только вопросы интеграции/совместимости с ним.
wikipost
ac23.08.2010 15:48
Поиск в интернете приводит к такому варианту: http://oss.netfarm.it/clamav/files/clamav-mingw-0.96.1.7z Насколько он работоспособен — не проверял. Но по крайней мере это не Immunet, т.е. ClamD в нём быть должен.
wikipost
ac23.08.2010 17:40
ред: 23.08.2010 17:55
Работает. acFilter его подхватывает: ClamD init — OK, ClamAV 0.96.1/11625/Mon Aug 23 16:40:07 2010

Подсунул пару вирусов из infected — ловит:
Reading databases from c:\clamav\db Database correctly reloaded (817118 signatures) F:\E4\DATA\upload\2010-08-23\127.0.0.1\mwelch1@stny.lrun.com!5064!33892140!2.eml: Worm.Mydoom.I FOUND F:\E4\DATA\upload\2010-08-23\127.0.0.1\travelersw5@schulmuseum.ch!62472!570625234!2.eml: Trojan.Bredolab-990 FOUND
wikipost
dima-irk3824.08.2010 07:27
ред: 24.08.2010 08:12
Реализовал предложенный вариант. Действительно работает. Спасибо. Вот, только AcFilter не видит дату текущих обновлений.
AcFilter отображает следующие:
unknown update

В логе антивируса DATA\log\antivirus
2010-08-24 11:34:49 AvLoad: DbInfo: unknown update; Engine: ClamAV 0.96.1/11632/Tue Aug 24 10:30:49 2010 2010-08-24 11:54:22 AvLoad: DbInfo: unknown update; Engine: ClamAV 0.96.1/11632/Tue Aug 24 10:30:49 2010 2010-08-24 13:33:31 AvLoad: DbInfo: unknown update; Engine: ClamAV 0.96.1/11633/Tue Aug 24 11:16:28 2010

Возможно, в результате смены архитектуры антивирусных баз Eserv перестал их видить или мои настройки не правильные?
Лог ClamD
+++ Started at Tue Aug 24 11:54:15 2010 clamd daemon 0.96.1 (OS: win32, ARCH: x86, CPU: i686) Log file size limited to 1048576 bytes. Reading databases from c:\clamav\db Not loading PUA signatures. Loaded 817183 signatures. TCP: Bound to port 3310 TCP: Setting connection queue length to 15 Limits: Global size limit set to 104857600 bytes. Limits: File size limit set to 26214400 bytes. Limits: Recursion level limit set to 16. Limits: Files limit set to 10000. Archive support enabled. Algorithmic detection enabled. Portable Executable support enabled. ELF support enabled. Mail files support enabled. OLE2 support enabled. PDF support enabled. HTML support enabled. Self checking every 600 seconds. No stats for Database check - forcing reload Reading databases from c:\clamav\db Database correctly reloaded (817196 signatures) SelfCheck: Database status OK.

Вроде отклонений нет.
wikipost
pig24.08.2010 10:29
acFilter смотрит дату обновления по файлу antivirus\clamav\share\clamav\daily.cvd (относительно корневой папки Eserv). У вас ClamAV установлен в другой каталог.
wikipost
ac25.08.2010 04:30
Он еще смотрит на {AntivirusClamAV[Bin]}\data\mirrors.dat. Т.е. если у вас ClamAV в c:\clamav, то добавьте в E4.ini:
[AntivirusClamAV] Bin="c:\clamav\"
а в C:\clamav\clamd.conf и C:\clamav\clamav.reg замените "db" на "data", запустите этот reg (иначе freshclam базы не найдёт), перезапустите ClamAV и acFilter, и дата обновления должна появится.
wikipost
tbmos19.10.2010 13:42
У меня почему-то асFilter ,только со второго запуска подхватывает даты обновления ClamAV, а почта локальная на вирус не проверяется,если не локольная clamav нормально отлавливает тестовый вирус.
wikipost
pig19.10.2010 18:27
Там на самом деле не антивирусная проверка, а антиспамная, в которую включена антивирусная. Со всеми исключениями, соответствующими антиспамной проверке.
wikipost
tbmos19.10.2010 20:01
Спасибо,понял,уж слишком задрал цену drweb,отсюда и подключение clamav.
wikipost
ac20.10.2010 17:18
Текущая цена на Dr.WEB для Eserv, даже после весеннего повышения, соответствует всего лишь 9-пользовательской лицензии Dr.WEB для других почтовых серверов под Windows. Поэтому Dr.WEB продолжают на меня "дуться" за те особые условия, которые мы получаем для наших клиентов. Так получилось, что в 2002, когда мы начинали прикручивать антивирусы, ни у KL, ни у DrWEB ("ДиалогНауки" на тот момент) не было других российских партнеров по интеграции, и они согласились на наши условия (плоская приемлемая цена), чтобы посмотреть, что из этого выйдет. А потом уже никто из них не мог повысить цены в одностроннем порядке, т.к. терял конкурентоспособность с товарищем. В этом году ДокторВеб все же рискнул, и теперь пожинает плоды. ARPU, конечно, вырос, но вот самих этих "U" убавилось — в пользу KAV и ClamAV, как и предсказывалось.
wikipost
tbmos20.10.2010 18:27
С точки зрения покупателя уж лучше думать IMHO в этом напревление:
" лицензия LibSD, обучите его на вирусном архиве (popfile-test.exe -sd rc clear spam C:Eserv3/DATA/mail/infected ), и вы получите бесплатный антивирус! "
wikipost
ac20.10.2010 19:23
С точки зрения экономии — да. Можно и молоко выпить, и корову съесть (на сене сэкономить опять же). Но если мы съедим всех коров, то в конце-концов негде будет брать молоко. ClamAV и PopFile в этом смысле — уже съеденные коровы Некому их по-настоящему развивать. Поэтому слишком уж усердствовать в уморении голодом антивирусных компаний не стоит. Ну, за исключением варианта, если они сами все эти вирусы и пишут, тогда с уморением антивирусных компаний уморются и вирусы
wikipost
tbmos20.10.2010 21:52
ред: 20.10.2010 21:53
значит не стоит покупать LibSD,а так хотелось.(шутка)
wikipost
ac21.10.2010 01:38
Если только для замены антивируса, то точно не стоит
wikipost
tbmos22.10.2010 15:35
Понятно,купил KAV,деньги к вам поехали.
wikipost
ac23.10.2010 17:51
Спасибо, ключ к вам вчера уехал.
wikipost
tbmos23.10.2010 20:09
Спасибо за оперативность,KAV уже в работе.
wikipost
tbmos27.10.2010 09:01
kav множит процессы,память же не резиновая,возможно есть волшебный ключик от этого?
klav
wikipost
ac27.10.2010 21:33
ред: 27.10.2010 21:38
В командной строке службы можно дописать "1 Kav5MaxScanningProcesses". По умолчанию число сканирующих процессов (пул, между которыми KAV распределяет работу) равно "число_процессоров*2".

Или, как было в E3, добавить в ini:
[AntivirusKAV] MaxScanningProcesses=1
wikipost
ac27.10.2010 21:41
В следующем обновлении этот параметр будет возвращен в orig.ini, со значением =0, т.е. по умолчанию.
wikipost
tbmos22.11.2010 20:03
ред: 23.11.2010 10:36
kav5_bases_updater7.exe — так и должен сидеть постоянно в процессах? уж больно сильно нагружает процы(до 30%)? интервал обновления установлен по умолчанию — 10.
wikipost
ac24.11.2010 09:08
Не должен, конечно. Видимо не успевает с таким интервалом. Надо заглянуть в лог обновления, чем он там занимается.
wikipost
tbmos24.11.2010 10:57
KAV5 antivirus bases updater v2.4 for Eserv/4.x © 2002-2009 Etype.
Init OK
Task started event
http://dnl-ru1.kaspersky-labs.com/
Update source is selected 'http://dnl-ru1.kaspersky-labs.com/' index/6/u0607g.xml.dif
Download file started 'index/6/u0607g.xml.dif' index/6/u0607g.xml.dif
File downloaded 'index/6/u0607g.xml.dif' index/6/u0607g.xml.klz
Download file started 'index/6/u0607g.xml.klz' index/6/u0607g.xml.klz
File downloaded 'index/6/u0607g.xml.klz' 1 % 17646 bytes

Generate list of files to download 2 % 17646 bytes 3 % 17646 bytes 4 % 17
6 bytes 5 % 17646 bytes 6 % 17646 bytes 7 % 17646 bytes 8 % 17646 byte
8 % 17646 bytes 9 % 17646 bytes bases/av/avc/i386/av-i386-0607g.xml.dif
Download file started 'bases/av/avc/i386/av-i386-0607g.xml.dif' bases/av/avc/i386/av-i386-0607g.xml.dif
File downloaded 'bases/av/avc/i386/av-i386-0607g.xml.dif' bases/av/avc/i386/av-i386-0607g.xml.klz
Download file started 'bases/av/avc/i386/av-i386-0607g.xml.klz' bases/av/avc/i386/av-i386-0607g.xml.klz
File downloaded 'bases/av/avc/i386/av-i386-0607g.xml.klz' 10 % 126433 bytes bases/upd/upd-0607g.xml.dif
Download file started 'bases/upd/upd-0607g.xml.dif' bases/upd/upd-0607g.xml.dif
File downloaded 'bases/upd/upd-0607g.xml.dif' 10 % 128028 bytes

и затем висит.
wikipost
ac25.11.2010 06:12
Может он качает так долго этот файл? Или может ему какой-нибудь firewall не дает качать? А если прибить этот висящий экземпляр и вручную запустить CommonPlugins\acFilter\antivirus\kav5\KAV5_bases_updater.bat? Вчера и сегодня проверял и через acFilter, и вручную — нормально качается с того же самого сервера.
wikipost
ac25.11.2010 07:24
tbmos пишет: и затем висит.

Можно еще такой файлик http://www.eserv.ru/download/updsdk.xml записать в каталог kav5, и тогда апдейтер будет вести еще один лог, и может хоть там скажет что-нибудь по существу.
wikipost
tbmos29.11.2010 20:50
спасибо,проблему решил.
wikipost
Работает на Eserv/5.05555 (05.06.2016)