Clamav no intercepta nada



  • Hola,

    Tengo pfsense 2.1.2 i386 con squid3-dev + squidguard funcionanado. He seguido la guia de configuración de squid3-dev para hacer funcionar clamav + i-cap. Ambos servicios estan activos, la base de datos actualizada, puedo cargar la página de aviso de virus (https://192.168.4.200:2345/clwarn.cgi) pero si descargo el virus eicar lo descarga sin ningún aviso. ¿Que pasos debo seguir para verificar el correcto funcionamiento de Squidclamav?

    Un saludo.



  • Squid esta funcionando?
    que lo veas como funcionando en services,y que puedas navegar, no significa que funcione correctamente.
    Tienes algo en acl/blacklist,lo bloquea?
    en realtime ves que este funcionando?



  • Hola LEPM,

    Gracias por el soporte. Estoy convencido de que squid funciona, bloquea tanto por las listas importadas (Shalla) como los ACL personalizados, tengo 3 grupos de seguridad default, profesores y administración, donde default es el más restringido logicamente. Active el modo Debug 3 en c-icap.conf y tengo este log despues de descargar el eicar test de www.eicar.org:

    
    $ tail -n 50 /var/log/c-icap/server.log
    Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG extract_http_info: url http://analytics.eicar.org/piwik.js
    Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: http://analytics.eicar.org/piwik.js
    Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
    Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
    Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_init_request_data: initializing request data handler.
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: processing preview header.
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG extract_http_info: method GET
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG extract_http_info: url http://www.eicar.org/download/eicar.com.txt
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: http://www.eicar.org/download/eicar.com.txt
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
    Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_init_request_data: initializing request data handler.
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: processing preview header.
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: preview data size is 68
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG extract_http_info: method GET
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG extract_http_info: url http://www.eicar.org/download/eicar.com.txt
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: URL requested: http://www.eicar.org/download/eicar.com.txt
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: Content-Length: 68
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: Content-Type: application/octet-stream
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: ending request data handler.
    Fri Apr 25 09:58:10 2014, 28019/674868928, dconnect: entering.
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Sending zINSTREAM command to clamd.
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Ok connected to clamd.
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG: squidclamav_end_of_data_handler: Scanning data now
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Write 72 bytes on 68 to socket
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Closing Clamd connection.
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Responding with allow 204
    Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_release_request_data: Releasing request data.
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_init_request_data: initializing request data handler.
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: processing preview header.
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: method GET
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: url https://www.google.com/complete/search?client=firefox&q=proxy+anonimo
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: https://www.google.com/complete/search?client=firefox&q=proxy+anonimo
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_init_request_data: initializing request data handler.
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: processing preview header.
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: method GET
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: url https://www.google.com/search?q=proxy+anonimo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: https://www.google.com/search?q=proxy+anonimo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
    Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
    
    


  • Estoy probando diversos cambios en la configuración. Si pongo en c-icap.conf TmpDir /tmp el proxy parece que funciona correctamente, pero no bloquea la descarga del virus eicar desde www.eicar.org. Salen los siguientes avisos en /var/log/c-icap/server.log:

    
    Fri Apr 25 12:49:05 2014, 31650/674863168, ERROR squidclamav_end_of_data_handler: Can't write to clamd socket (maybe we reach clamd StreamMaxLength, total read: 43).
    Fri Apr 25 12:49:05 2014, 31650/674863168, ERROR: Can't send to clamd: Broken pipe
    
    

    Si dejo el valor por defecto que se supone que es /var/tmp, comentando la linea #TmpDir. En este caso falla la navegación saliendo siempre el mensaje del proxy 'de error de protocolo icap'. En el log sale esto otro:

    
    Fri Apr 25 13:09:35 2014, 25047/674867328, ci_simple_file_new: Can not open temporary filename in directory:/var/tmp/
    Fri Apr 25 13:09:35 2014, 25047/674867328, DEBUG squidclamav_release_request_data: Releasing request data.
    
    

    ¿Alguien sabe decirme algo sobre esto?

    Muchas gracias.



  • Mi pregunta sobre si squid funciona,era por si tienes algo en Proxy/ACLs/Blacklist
    y si lo bloqueaba.

    yo he tenido problemas con squid3-dev en una maquina real.

    squid dejaba de bloquear las blacklist y no interceptaba los virus!!
    entonces volví a squid 3.1.

    Tengo una VM con squid3-dev+squidguard-squid3 funcionando perfectamente
    y haga lo que haga no puedo reproducir el fallo!

    con respecto a tu problema.
    alguna ves funcionó bien?

    te dejo el log de lo que sucede desde el momento que clickeas el archivo con "virus" en eicar hasta
    que muestra la pagina de advertencia.

    Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_init_request_data: initializing request data handler.
    Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_check_preview_handler: processing preview header.
    Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_check_preview_handler: No body data, allow 204
    Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_release_request_data: Releasing request data.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_init_request_data: initializing request data handler.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_check_preview_handler: processing preview header.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_check_preview_handler: preview data size is 68
    Sat Apr 26 10:59:08 2014, 91271/674862272, dconnect: entering.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Sending zINSTREAM command to clamd.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Ok connected to clamd.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG: squidclamav_end_of_data_handler: Scanning data now
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: received from Clamd: stream: Eicar-Test-Signature FOUND
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Virus redirection: https://192.168.1.1/clwarn.cgi?url=http://www.eicar.org/download/eicar.com.txt&source=192.168.1.2&user=-&virus=stream: Eicar-Test-Signature FOUND.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Virus found, ending download.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Closing Clamd connection.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Virus found, sending redirection header + error page.
    Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_release_request_data: Releasing request data.
    
    

    No probaste de instalarlo en una VM?
    yo no e tocado ni una sola linea de "c-icap.conf" y funciona bien.
    de squidclamav.conf solo la linea del "pfsenseip"

    porque no lo instalas en una VM,solo cambiando la ip "squidclamav.conf" y ves la diferencia.
    si quires te pego la config de mi VM.



  • Gracias LEMP.
    Ya funciona, he tenido que modificar en c-icap.conf y clamd.conf el valor de TmpDir a /tmp. Por alguna razón que desconozco mi instalación no puede usar /var/tmp (valor por defecto) con clamd.
    Mi instalación tiene una personalización respecto a la que se hace por defecto y es que modifique las rutas de los modulos que usan una base de datos en /var/db para que se guarde en /usr/local/db (para que no se pierdan entre reinicios porque tengo /var y /tmp en RamDisk), pero no veo como puede afectar esto a los temporales…

    No pruebo con una maquina virtual porque este equipo aún no esta en producción y puedo hacer con el las pruebas. Además tiene 6 puertos (2WAN Y 4 LAN) por lo que se me complicarían las pruebas en una VM, pero tendré que ir preparando una para cuando lo ponga en producción....

    Pero al arreglar esto ha aparecido otro problema con el proxy que antes no tenía y es que accedo a una web, por ejemplo www.elmundo.es, se carga perfectamente, pero al pinchar un enlace, por ejemplo cualquier articulo, sale un error del proxy indicando conexión fallida, y ya no puedo ver nada más en esa web siempre con el mismo error, pero si voy a una web distinta o busco en google si va....  :o y no encuentro la razón de esto en los logs..



  • El último problema también esta solucionado, y era que Snort estaba bloqueando las webs después de visitarlas por algo que llama DOUBLE DECODING ATTACK, he creado una excepción y eliminado de la lista de bloqueadas las ips y ya va sin problema.



  • @gromero:

    Ya funciona, he tenido que modificar en c-icap.conf y clamd.conf el valor de TmpDir a /tmp. Por alguna razón que desconozco mi instalación no puede usar /var/tmp (valor por defecto) con clamd.
    Mi instalación tiene una personalización respecto a la que se hace por defecto y es que modifique las rutas de los modulos que usan una base de datos en /var/db para que se guarde en /usr/local/db (para que no se pierdan entre reinicios porque tengo /var y /tmp en RamDisk), pero no veo como puede afectar esto a los temporales…

    Sugiero que en lugar de cambiar emplazamientos "juegues" con el uso de enlaces simbólicos, comando ln -s

    http://www.freebsd.org/cgi/man.cgi?query=ln



  • ¿los enlaces se pueden crear desde shellcmd y si es así con que prioridad? porque /var desaparece entre reinicios al ir en ramdisk.

    Saludos



  • Sí, se hacen desde la consola.

    Pueden hacerse cosas como:

    cd /var
    mv log /usr/var_en_usr/.
    ln -s /usr/var_en_usr/log log

    Con el ejemplo, en un FreeBSD normal, trasladamos los logs de /var/log a /usr/var_en_usr/log y se siguen viendo también en /var/log

    Espero haberme explicado. Evidentemente, hay que ir con sumo cuidado con estas operaciones…