clamscan usando maldet Erro: Servname não suportado para ai_socktype

1

Então eu instalei o Linux Malware Detect (maldet) para escanear um servidor e tudo correu bem com a instalação, mas quando eu corro, eu recebo um erro. Um monte de erros e que a varredura apenas a fecha.

Aqui está um comando que executei na maldet para procurar uma pasta específica:

sudo maldet -a /opt/lampp/
Linux Malware Detect v1.5
        (C) 2002-2014, R-fx Networks <[email protected]>
        (C) 2014, Ryan MacDonald <[email protected]>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(4954): {scan} signatures loaded: 10728 (8824 MD5 / 1904 HEX / 0 USER)
maldet(4954): {scan} building file list for /opt/lampp/, this might take awhile...
maldet(4954): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(4954): {scan} file list completed in 1s, found 132591 files...
maldet(4954): {scan} found clamav binary at /usr/bin/clamdscan, using clamav scanner engine...
maldet(4954): {scan} scan of /opt/lampp/ (132591 files) in progress...
maldet(4954): {scan} clamscan returned an error, check /usr/local/maldetect/logs/clamscan_log for more details!

maldet(4954): {scan} scan completed on /opt/lampp/: files 132591, malware hits 0, cleaned hits 0, time 28s
maldet(4954): {scan} scan report saved, to view run: maldet --report 150321-0045.4954

Isto é basicamente para digitalizar pasta de instalação lampp e eu recebo um erro, quando eu abro um arquivo de log do clamscan_log eu recebo isso:

ERROR: Could not lookup : Servname not supported for ai_socktype

A lista é muito longa, como 100 000 linhas desses erros e a varredura termina devido a um erro.

Antes de instalar a maldet eu instalei clamav e clamtk (o gui para o clamav) e executei a varredura sem nenhum problema.

Eu também instalei rkhunter e executei isso sem problemas.

O ponto é que eu tenho o arquivo wordpress malicioso no servidor e nenhum clamav e rkhunter encontrado, mas eu sei que o arquivo está lá e malicioso porque eu estou olhando para ele. O código malicioso está na verdade em index.php do wordpress.

Então eu queria verificar com a maldet também e procurar o código para ver se ele detectará o código malicioso. Mas eu não posso digitalizá-lo por algum motivo eu recebo o erro acima, e nenhuma das buscas na net me deu uma correção e solução para isso.

Edit: e apenas para uma nota usando: sudo clamscan , o clamscan funciona bem e escaneia os arquivos normalmente.

    
por Aleksandar Đorđević 21.03.2015 / 00:55

3 respostas

1

Eu acho que o seu problema está no fato de que existem dois executáveis de varredura: clamscan e clamdscan . O segundo depende do serviço do sistema clamav-daemon . Na verdade, se você encerrar este serviço e tentar verificar um arquivo com o executável clamdscan , você verá:

'ERROR: Could not lookup : Servname not supported for ai_socktype'.

Eu nunca usei a maldet como você pode ler nos seus registros:

maldet(4954): {scan} found clamav binary at /usr/bin/clamdscan, using clamav scanner engine...

na verdade, ele está usando o binário que precisa que o serviço mencionado acima esteja em execução.

    
por 07.05.2015 / 10:35
1

Não posso garantir que meu caso de uso seja idêntico ao seu para este erro:

ERROR: Could not lookup : Servname not supported for ai_socktype

mas resumindo, encontrei o seguinte:

  1. root é capaz de executar /bin/clamdscan <a file> com êxito
  2. clamscan (o proprietário do daemon clamd) pode executar /bin/clamdscan <a file> successfully

Mas executar o acima como qualquer outro usuário gerou o erro acima, independentemente das permissões do usuário em execução no arquivo que está sendo verificado e no diretório que o contém.

Minha solução: usermod --groups clamscan --append <user> para qualquer usuário que eu queira executar o clamdscan. Agora funciona 100%.

Espero que isso seja útil em sua situação.

    
por 04.06.2015 / 18:03
0

No meu caso, recebi esse erro quando meu daemon estava inativo.

Minha solução foi tão simples quanto:

service clamav-daemon start

Observação: o freshclam após a atualização não inicia seu daemon.

    
por 04.09.2017 / 13:42