got undefined output from virus detector in Utils.pm

H

hawkeye

New Member
Feb 26, 2023
9
1
3
Germany
Hallo,

unser neues, jetzt produktiv genutztes Mail Gateway produziert tausende Meldungen dieser Art im syslog, knapp 5.000 seit dem 31.03.:

pmg-smtp-filter[358750]: C3CD0660CF1101657A: got undefined output from virus detector: : ERROR at /usr/share/perl5/PMG/Utils.pm line 473.

Installiert ist die aktuelle Version als Upgrade von der ursprünglich installierten Version 8.0. ClamAV ist aktiviert, ebenso AVAST. Was ist zu tun, um diese Meldung verschwinden zu lassen, oder ist das eine harmlose Meldung?

Vielen Dank.
Thomas


pmgversion
pmg-api/8.1.2/c979cfd1d78a (running kernel: 6.5.13-1-pve)
 
bitte mal `pmgversion -v` teilen - ebenso bitte auf der commandline versuchen ein beliebiges file mit clamav und avast zu scannen.
Fehler scheint auf den ersten blick eher mit clamav zu tun zu haben.
Bitte ein wenig mehr von dem journal rund um diese Meldungen herum teilen.

Ist die Avast Lizenz noch gültig?
 
Stoiko Ivanov said:
bitte mal `pmgversion -v` teilen - ebenso bitte auf der commandline versuchen ein beliebiges file mit clamav und avast zu scannen.
Fehler scheint auf den ersten blick eher mit clamav zu tun zu haben.
Bitte ein wenig mehr von dem journal rund um diese Meldungen herum teilen.

Ist die Avast Lizenz noch gültig?
Click to expand...


Avast Lizenz ist noch gültig, nutzen wir schon seit Jahren, sind aber jetzt erst zum PMG gewechselt.

Scan mit beiden im Terminal funktioniert, wo Avast scan nur als user Avast funktioniert, andernfalls wird ein Permission error angezeigt. Avast im PMG dürfte aber einwandfrei funktionieren, laut Syslog und bereits entdeckter und entferner Malware in Mails.

Allerdings hat auch ClamAV bereits verdächtiges gefunden, trotz dieser Meldungen. Beispiel:
clamd[648]: LibClamAV info: Suspicious link found!
/var/spool/pmg/active/C34CC660AE97459C48: Heuristics.Phishing.Email.SpoofedDomain FOUND

Habe alle Zeilen zu einer Message-ID kopiert, in der die Utils.pm Meldung enthalten ist, plus den davor stehenden Connect:

2024-04-03T09:50:51.538821+02:00 mail4 pmg-smtp-filter[365120]: 2024/04/03-09:50:51 CONNECT TCP Peer: "[127.0.0.1]:48422" Local: "[127.0.0.1]:10024"
2024-04-03T09:50:51.588007+02:00 mail4 pmg-smtp-filter[365120]: C3D2F660D0A5B8D971: new mail message-id=<2045078548.1146902.1712130642266@DOMAIN>#012
2024-04-03T09:50:51.602236+02:00 mail4 pmg-smtp-filter[365120]: C3D2F660D0A5B8D971: got undefined output from virus detector: : ERROR at /usr/share/perl5/PMG/Utils.pm line 473.
2024-04-03T09:50:52.150328+02:00 mail4 pmg-smtp-filter[365120]: C3D2F660D0A5B8D971: SA score=0/5 time=0.546 bayes=undefined autolearn=disabled hits=AWL(-0.001),HTML_FONT_LOW_CONTRAST(0.001),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),MIME_HTML_ONLY(0.1),RCVD_IN_MSPIKE_H3(0.001),RCVD_IN_MSPIKE_WL(0.001),SPF_HELO_NONE(0.001),SPF_PASS(-0.001)
2024-04-03T09:50:52.196940+02:00 mail4 pmg-smtp-filter[365120]: C3D2F660D0A5B8D971: accept mail to <MAILADDR> (2556DC3D30) (rule: default-accept)
2024-04-03T09:50:52.198778+02:00 mail4 pmg-smtp-filter[365120]: C3D2F660D0A5B8D971: processing time: 0.616 seconds (0.546, 0.005, 0)
2024-04-03T09:50:52.198991+02:00 mail4 postfix/lmtp[364431]: 7DEF8C3B99: to=<MAILADD>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.7, delays=3.1/0/0.04/0.62, dsn=2.5.0, status=sent (250 2.5.0 OK (C3D2F660D0A5B8D971))


pmgversion -v
proxmox-mailgateway: 8.1.0 (API: 8.1.2/c979cfd1d78a, running kernel: 6.5.13-1-pve)
pmg-api: 8.1.2
pmg-gui: 4.1.1
proxmox-kernel-helper: 8.1.0
pve-kernel-6.2: 8.0.5
proxmox-kernel-6.5.13-1-pve-signed: 6.5.13-1
proxmox-kernel-6.5: 6.5.13-1
proxmox-kernel-6.5.11-8-pve-signed: 6.5.11-8
proxmox-kernel-6.2.16-20-pve: 6.2.16-20
proxmox-kernel-6.2: 6.2.16-20
clamav-daemon: 1.0.3+dfsg-1~deb12u1
ifupdown2: 3.2.0-1+pmx8
libarchive-perl: 3.6.2
libjs-extjs: 7.0.0-4
libjs-framework7: 4.4.7-2
libproxmox-acme-perl: 1.5.0
libproxmox-acme-plugins: 1.5.0
libpve-apiclient-perl: 3.3.0
libpve-common-perl: 8.1.0
libpve-http-server-perl: 5.0.5
libxdgmime-perl: 1.1.0
lvm2: 2.03.16-2
pmg-docs: 8.1.1
pmg-i18n: 3.2.1
pmg-log-tracker: 2.5.0
proxmox-mini-journalreader: 1.4.0
proxmox-spamassassin: 4.0.0-5
proxmox-widget-toolkit: 4.1.4
pve-firmware: 3.9-2
pve-xtermjs: 5.3.0-3
zfsutils-linux: 2.2.2-pve2
 
hawkeye said:
Habe alle Zeilen zu einer Message-ID kopiert, in der die Utils.pm Meldung enthalten ist, plus den davor stehenden Connect:
Click to expand...
Bitte eher die Minute als ganzes rund um die mail aus dem journal teilen - es geht (in dem Fall potentiell primär) um Meldungen, die nicht vom pmg-smtp-filter kommen...

Wenn möglich eine dieser Mails als .eml speichern und entweder auf dem PMG ein `clamdscan /path/to/exported.eml` laufen lassen und das output hier teilen, oder das eml hier teilen.

Scheint kein allgemeines Problem zu sein - habe solche Meldungen noch auf keinem unserer Testsysteme gesehen...

Gibt es Modifikationen an der ClamAV config?
 
Stoiko Ivanov said:
Gibt es Modifikationen an der ClamAV config?
Click to expand...

an clamd.conf wurde wissentlich nichts verändert. Allerdings ist mir bei der Kontrolle ein merkwürdige Tippfehler darin aufgefallen: Btrueytecode anstelle von Bytecode. Seit ich dies vor ca. 75 min. korrigiert habe, taucht die Utils.pm Meldung nicht mehr im Syslog auf. Wenn das so bleibt dürfte die Ursache gefunden sein. Vielen Dank für die schnelle Hilfe.

mfg. Thomas
 
hawkeye said:
Der identische Tippfehler war jedoch auch zu finden in: /var/lib/pmg/templates/clamd.conf.in
Click to expand...
ist hier zumindest nicht der Fall, sprich im pmg-api Paket steht der tippfehler nicht drinnen - ich würde sicherheitshalber mal debsums installieren (`apt install debsums`) und schauen, ob sich sonst noch was verändert hat:
`debsums -c`

falls sonst nichts auffälliges auftaucht - einfach mit `apt reinstall pmg-api` alles wieder richtig stellen.
 
Stoiko Ivanov said:
ist hier zumindest nicht der Fall, sprich im pmg-api Paket steht der tippfehler nicht drinnen - ich würde sicherheitshalber mal debsums installieren (`apt install debsums`) und schauen, ob sich sonst noch was verändert hat:
`debsums -c`

falls sonst nichts auffälliges auftaucht - einfach mit `apt reinstall pmg-api` alles wieder richtig stellen.
Click to expand...

ok:

debsums -c
/etc/avast/log.conf
/var/lib/pmg/templates/clamd.conf.in

Habe sicherheitshalber das Paket neu installiert. Fehlermeldung bisher nicht wieder aufgetreten. Sieht alles gut aus, PMG läuft wunderbar und selbstverständlich mit subscription. :)

Gruss,
Thomas
 
  • Like
Reactions: Stoiko Ivanov
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back