[Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento

• From: "Ezio Paglia" <ezio@xxxxxxxxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Sat, 9 Jan 2010 19:20:44 +0100 (CET)

Ciao Andrea e grazie.

Non so bene quando ha cominciato ma si vede che la tua frequenza di
freshclam è più fortunata della mia. Purtroppo (o per fortuna) non
presidio il comune di sabato e non mi sono lasciato porte aperte.

L'ultimo messaggio arrivato a postmaster di notifica quarantena è delle
12.40 di oggi (i primi non mi ricordo perché li ho cancellati ritenendoli
veri); si vede che a clamav sono riusciti a patchare la c....ta .

Un gran numero di amministratori hanno scritto e una gran mole della posta
filtrata da clamav non è stata recapitata verosimilmente da mezzanotte di
ieri alle dodici di stamani mattina.

Comunque se vi è capitato, ho trovato questo :

Postfix : How to release quarantined files

http://support.netrack.hu/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=15

oltre al meccanismo di amavisd-release <nome-file>.

Per me a qualcuno è capitato, non ci credo che sia successo solo a me.

http://lurker.clamav.net/message/20100109.012314.36d51910.en.html
http://www.zimbra.com/forums/administrators/36295-every-new-message-flagged-exploit-pdf-9669-nothing-getting-through.html

Ciao grazie.
Ezio


> Ezio Paglia ha scritto:
>> Ciao a tutti.
>>
>> Sembra che Clamav sia impazzito e stia creando in queste ore problemi
>> enormi a tutti i sistemi postali che lo usano. Purtroppo non ho la
>> capacità da casa di gestire il nostro sistema e dovrò occuparmente
>> lunedi,
>> ma vorrei arrivare al lavoro più preparato.
>>
>> Clamav sta marcando come virali tutti i messaggi con html embedded, nel
>> mio sistema al ritmo di circa 2 al minuto. Questi messaggi sono messi in
>> quarantena si direttrice di filesystem e spero che il sistema non
>> sballi.
>>
>> Ho postfix + amavis + clamav.
>>
>> Mi si porrà il problema di bloccare questo anomalo comportamento di
>> ClamAV
>> prima, ma dovrei sapere come fare, prima che un buon freshclam rimetta
>> le
>> cose in stabilità.
>>
>> Poi dovrò rimettere i messaggi quarantinati in coda (sono molte
>> migliaia).
>> Di solito faccio questo servizio un file per volta un utente per volta e
>> sposto il messaggio direttamente nell'imap del destinatario che
>> reindicizzo.
>> Qui il problema è diverso, alcuni messaggi quarantinati debbono partire,
>> altri debbono essere accettati, quindi lato code sono un po' confuso. Mi
>> ricordo che amavis dispone di qualcosa tipo amavisd-release <nome file>
>> ,
>> ma postfix di per sé come fa a rimettere nelle code opportune questi
>> falsi
>> positivi ?
>>
>> Ciao e grazie
>> Ezio.
>>
>> PS. Per favore scrivete in chiaro perché altrimenti il mio antivirus vi
>> blocca fino a che non lo correggo.
>>
>
> Ho più server mail con Postfix, amavis e clamav, e tutti eseguo fresclam
> ogni ora.
> Finora nessuno ha segnalato nulla e ho appena provato ad inviare una mail
> in html da un server
> verso l'altro. Amavis dice che tutto è ok, in spedizione. Il messaggio è
> arrivato senza problemi
> sull'altro server.
>
> L'ultimo aggiornamento di clamav è quello qui sotto indicato.
>
> ClamAV update process started at Sat Jan  9 12:00:03 2010
> main.cvd is up to date (version: 51, sigs: 545035, f-level: 42, builder:
> sven)
> Downloading daily-10276.cdiff [100%]
> daily.cld updated (version: 10276, sigs: 147898, f-level: 44, builder:
> neo)
> Database updated (692933 signatures) from database.clamav.net (IP:
> 193.206.139.37)
> Clamd successfully notified about the update.
>
> Io fossi in te proverie a fare uno stop a mano dei servizi e poi una start
> dei servizi, sempre
> manuale. (NON UN RESTART)
>
> --
> ing. Andrea Gelpi
> ***************************************************
> La Terra non la abbiamo ereditata dai nostri avi,
> ma la abbiamo presa in prestito dai nostri bambini.
> ***************************************************
> We do not inherit the Earth from our parents,
> but borrow it from our children.
> ***************************************************
> --
> Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
> "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
>
>
>


-- 


-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento
    • From: Giuseppe Briotti

• References:
  • [Linuxtrent] Falso virus di ClamAV - Postfix e accodamento
    • From: Ezio Paglia
  • [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento
    • From: Gelpi Andrea

Other related posts:

• » [Linuxtrent] Falso virus di ClamAV - Postfix e accodamento- Ezio Paglia
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Gelpi Andrea
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento - Ezio Paglia
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Giuseppe Briotti
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Ezio Paglia
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Roberto Resoli
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Ezio Paglia
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Marco Agostini
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Roberto Resoli
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Ezio Paglia
• » [Linuxtrent] Re: Falso virus di ClamAV - Postfix e accodamento- Gelpi Andrea

1. Home
2. linuxtrent
3. Archive
4. 01-2010

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---