o que significa esta mensagem clamAV?

7

Estou executando uma varredura clamAV em uma caixa linux, usando este comando:

$ sudo clamscan -r -l ClamScanLog -i /
[sudo] password for e: 
msxml.xml:14: parser error : Extra content at the end of the document

^
LibClamAV Warning: check_state[msxml]: CL_EPARSE @ ln304
LibClamAV Warning: cli_msxml_parse_document: encountered issue in parsing xml document
LibClamAV Warning: cli_scanxz: decompress file size exceeds limits - only scanning 27262976 bytes

....

O que esses avisos significam e devo me preocupar? O ventilador da CPU está acelerando periodicamente o que está acontecendo parece ser um uso intensivo da CPU.

    
por j0h 12.08.2015 / 16:42

3 respostas

7

O erro do analisador não é tecnicamente um erro do ClamAV, mas um erro XML, normalmente um problema de formatação. Se você usar o estouro de pilha, talvez a ajuda .

Mas o problema que realmente acredito é o tamanho do arquivo que você está tentando digitalizar. Dê uma olhada na página do ClamAV Man . Você verá que há um sinalizador --max-filesize. Há um padrão de 25MB (para evitar ataques ao DOS).

Se eu colocar um palpite sobre isso, seu arquivo XML é maior do que 25MB (aprox. 27MB) e quando você tentar lê-lo, ele não conseguirá passar e cortar informações importantes, assim você terá o ClamAV avisando que atingiu seu limite e um aviso XML de que o formato não está correto.

Tente:

sudo clamscan --max-filesize=30M -r -l ClamScanLog -i /
    
por 12.08.2015 / 17:41
3

LibClamAV Warning: cli_scanxz: decompress file size exceeds limits - only scanning 27262976 bytes

O ClamAV, como todos os outros softwares antivírus, não pode verificar um arquivo que exceda um determinado volume. A mensagem acima apenas avisa que o ClamAV encontrou um arquivo enorme e não pode verificá-lo. Se você está curioso, verifique na documentação o valor padrão do tamanho dos arquivos que o ClamAV poderia manipular corretamente.

LibClamAV Warning: cli_msxml_parse_document: encountered issue in parsing xml document

Se você verificar este arquivo do código-fonte, você encontrará na linha 484 :

 else if (ret == CL_VIRUS || ret == CL_ETIMEOUT || ret == CL_BREAK) {
      cli_dbgmsg("cli_msxml_parse_document: encountered halt event in parsing xml document\n");
      break;
} else {
      cli_warnmsg("cli_msxml_parse_document: encountered issue in parsing xml document\n");
      break;
}

Você pode notar (depois de verificar o significado dos sinalizadores CL_VIRUS , CL_ETIMEOUT e CL_BREAK usado como um valor de retorno), você descobrirá que isso pode ser causado pelo processo de verificação em um determinado arquivo demorou muito tempo, parou por algum motivo ou é improvável para ser um arquivo de vírus (eu disse improvável em relação à linha 481 do mesmo arquivo). Essa mensagem de aviso também pode ser acionada por um motivo inesperado que o ClamAV não sabe (linha 488). Tenha em mente que todos esses avisos estão relacionados à análise de documentos XML.

LibClamAV Warning: check_state[msxml]: CL_EPARSE @ ln304

No arquivo libclamav / msxml_parser.c , você pode ver que isso aviso é gerado quando o ClamAV encontra um problema em torno de um nó de conteúdo do arquivo XML ( state = xmlTextReaderNext(reader); )

    
por 12.08.2015 / 17:42
1

O tamanho máximo padrão do arquivo é 25M, é definido em:

/etc/clamav/clamd.conf
MaxFileSize 25M

Ele também pode ser fornecido ao clamscan como um argumento de linha de comando da seguinte forma:

--max-filesize 100M

Há um aviso no arquivo man sobre não desativá-lo ou configurá-lo muito alto.

Warning: disabling this limit or setting it too high may result in severe damage to the system.

Eu não tenho certeza do que eles querem dizer com isso. As únicas razões pelas quais descobri que não definem isso muito alto são que você não quer que o DOS use seu próprio sistema ou preencha seu sistema de arquivos fazendo com que o clamscan gere um monte de arquivos temporários. Essa é uma linguagem bem strong, então vou aumentar gradualmente e testar conforme eu for. Se você estiver usando o clamav como um verificador de e-mail, não precisará varrer arquivos maiores do que o seu servidor de e-mail aceita, mas se você estiver usando-o para varrer seu sistema de arquivos, você pode querer aumentar o volume.

Há também uma configuração para o tamanho máximo da verificação (Isso se aplica a arquivos compactados com arquivos grandes dentro de --clamav precisa abrir o arquivo, abrir e verificar cada subarquivo) scansize define o limite máximo de um arquivo mais todo o seu conteúdo. Você define isso com:

--max-scansize=250M

ou no arquivo de configuração listado acima

MaxScanSize 250M
    
por 02.12.2016 / 20:54

Tags