ClamAV: le definizioni dei virus sono obsolete, all'improvviso!

[Matilda12]

Salve a tutti!

Di nuovo qui, a disturbare la comunità, per uno dei miei (nuovi) accidenti informatici.

Tre elaboratori con Linux Mint 22 Cinnamon, regolarmente aggiornati, e oggi su due di questi (uno in inglese, l'altro in italiano) all'improvviso, aprendo ClamTk (interfaccia grafica di ClamAV ... non c'è bisogno che ve lo dica io, avete ragione), mi compare il seguente messaggio (purtroppo ho preso appunti dall'elaboratore in lingua inglese ...):

The antivirus signatures are outdated

Meglio:


Eppure, da sempre, ClamAV è configurato per ricevere automaticamente gli aggiornamenti (e così ha sempre e sinora fatto).


Quindi iniziano le ricerche in rete e mi viene pensato di interrogare lo stato del servizio che controlla gli aggiornamenti. Sui famosi due elaboratori su tre ottengo:


Sul terzo elaboratore, dove però ho manipolato ClamAV in base a QUESTO articolo, il servizio diversamente è caricato e attivo (tutto in verde, per intenderci).

Prendo questa strada: solo sull'elaboratore in lingua italiana passo il comando da terminale

Codice: Seleziona tutto

sudo freshclam

ClamAV è "contento" e il messaggio scompare.

Ho lasciato, per ora, indietro l'ultimo elaboratore in lingua inglese, quello da cui ho preso le screenshot.

Qualche anima pia può illuminarmi su cosa sta accadendo.
Attraverso ClamTk mi viene confermato che il programma è configurato per ricevere gli aggiornamenti automatici, però sembrerebbe, da oggi e all'improvviso - senza che io abbia fatto nulla, che questi aggiornamenti non arrivano, se non forzando con il comando "sudo freshclam".

Cosa mi dite? Qualche suggerimento?
Devo rimediare/forzare sulle due macchine con il servizio non attivo con i seguenti comandi?

Codice: Seleziona tutto

sudo systemctl start clamav-freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl status clamav-freshclam

Grazie, come sempre, per l'attenzione!

[CUB3]

Cosa mi dite? Qualche suggerimento?
Devo rimediare/forzare sulle due macchine con il servizio non attivo con i seguenti comandi?

Codice: Seleziona tutto

sudo systemctl start clamav-freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl status clamav-freshclam

Prima di fare questo, dovresti accertarti che non ci siano operazioni programmate con cron che effettuano l'aggiornamento ad un dato tempo, soluzione che evita di avere un servizio sempre in esecuzione ma che potrebbe portare al ritardo di aggiornamento delle definizioni.

Per vedere se ci sono operazioni programmate puoi utilizzare il seguente comando (prova sia come utente normale che come root):

Codice: Seleziona tutto

crontab -l

Se ci fosse una operazione programmata potresti provare ad aumentare la frequenza di attivazione per evitare il presentarsi di quell'avviso; ti consiglio di leggerti l'ottimo articolo di maurotramonti.

Se non c'è nessuna operazione pianificata, puoi procedere ad attivare il servizio clamav-freshclam con i comandi che hai correttamente riportato.

[Matilda12]

Ciao CUB3! ... e, ancora una volta,

Prima di fare questo, dovresti accertarti che non ci siano operazioni programmate con cron che effettuano l'aggiornamento ad un dato tempo, soluzione che evita di avere un servizio sempre in esecuzione ma che potrebbe portare al ritardo di aggiornamento delle definizioni.

Non ho saputo aspettare, devo ammettere ... ... e ho attivato il servizio con i comandi sopra riportati.

Adesso, non so se ho incasinato il sistema e quindi i risultati a venire sono stati falsati, però ho provato a passare sia

Codice: Seleziona tutto

sudo crontab -l

sia

Codice: Seleziona tutto

crontab -l

ottenendo rispettivamente "no crontab for root" e "no crontab for nomeutente".

Ho controllato il Gestore di pacchetti Synaptic e il pacchetto "cron" (demone di schedulazione dei processi) è tuttavia installato.
Leggendo l'articolo di maurotramonti "Pianificare operazioni in automatico su Linux: guida a crontab", mi sembra di capire, a questo punto, che manca il file di configurazione, quindi nessuna azione programmata era/è prevista nei miei sistemi.

Va bene, alla fine ho risolto con:

Codice: Seleziona tutto

sudo systemctl start clamav-freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl status clamav-freshclam

... però non resta un po' curiosa questa cosa delle definizioni che avrebbero dovuto aggiornarsi da sole e invece non lo fanno e tocca in qualche modo intervenire?

[CUB3]

... però non resta un po' curiosa questa cosa delle definizioni che avrebbero dovuto aggiornarsi da sole e invece non lo fanno e tocca in qualche modo intervenire?

Dato che è un servizio che hai attivato manualmente magari è stato disattivato in seguito ad un passaggio di versione di Linux Mint?

[Matilda12]

Dato che è un servizio che hai attivato manualmente magari è stato disattivato in seguito ad un passaggio di versione di Linux Mint?

A dire il vero i notebook dove ho riscontrato questo inconveniente vengono da una installazione fresca fresca (ex novo, da zero insomma) di Linux Mint 22 Cinnamon. Il primo verso la fine di agosto e l'altro ai primi di settembre.
Il messaggio di definizioni obsolete è poi comparso lo stesso giorno per tutti e due gli elaboratori.

P.S.
Grazie ancora del tuo tempo e del supporto!

[CUB3]

Allora è possibile che ti sia dimenticato di abilitare il servizio ma lo hai solo avviato? Se fosse così al riavvio il servizio non si sarebbe avviato automaticamente e forse non ti sei accorto prima perché la segnalazione di definizioni obsolete probabilmente viene visualizzata solo dopo un certo lasso di tempo?

[Matilda12]

A questo punto non saprei più e davvero cosa dire.
Nelle mie (poche, per carità) installazioni di Linux (tutte Linux Mint) mi sono semplicemente sincerato di avere ClamAV, ho aggiunto il pacchetto ClamTk e tutto è finito lì, senza necessità di avviare/caricare/abilitare nulla.
Questa insomma è la prima volta che mi accade, per di più su due distinte postazioni, una cosa del genere.

Allora è possibile che ti sia dimenticato di abilitare il servizio ma lo hai solo avviato?

Come accennato, in tutte le occasioni che ho avuto a che fare con Linux (Mint) mai avuta la necessità di avviare e/o abilitare il servizio. ClamAV, aperta l'interfaccia ClamTk, risultava sempre regolarmente aggiornato, in termini di definizioni dei virus.

[...] forse non ti sei accorto prima perché la segnalazione di definizioni obsolete probabilmente viene visualizzata solo dopo un certo lasso di tempo?

Questo è molto probabile.

Grazie ancora dell'aiuto e del confronto!

[Matilda12]

Curiosità: e tre! Ho creato una macchina virtuale sempre con (guest) Linux Mint 22 e, ancora una volta, le definizioni, passato qualche giorno, risultano obsolete.

[CUB3]

E quel'è lo stato del servizio clamav-freshclam.service?

[Matilda12]

Eccomi, CUB3!
Scusa per il ritardo della risposta.

Lo stato del servizio è esattamente come nella screenshot del primo post, cioè:

Codice: Seleziona tutto

Loaded - disabled
Active - inactive (dead)

Prima di passare anche in questa macchina (virtuale) i tre comandi

Codice: Seleziona tutto

sudo systemctl start clamav-freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl status clamav-freshclam

ho anche controllato, verificandone l'assenza, attività programmate con cron.

Adesso sono tutto preso/preoccupato da questo script ... (un po' - tanto - perché non ci capisco, un po' perché non ho il tempo sufficiente).

[CUB3]

Quindi il demone di aggiornamento non viene attivato durante l’installazione? E nemmeno una operazione programmata? Strano…

Mi viene in mente che invece di cron potrebbe essere utilizzato un timer di systemd… prova a controllare l’output di questo comando:

Codice: Seleziona tutto

systemctl list-timers

[Matilda12]

Eccomi di nuovo!

Ho passato il comando sul terminale dell'ultima macchina (virtuale) con Linux Mint 22 Cinnamon e l'output è quello a seguire:

NEXT LEFT LAST PASSED UNIT ACTIVATES
Wed 2024-10-09 17:03:21 CEST 1min 50s Sun 2024-10-06 16:50:42 CEST - apt-daily-upgrade.timer apt-daily-upgrade.service
Wed 2024-10-09 17:12:29 CEST 10min - - systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service
Wed 2024-10-09 17:46:08 CEST 44min Sun 2024-10-06 17:11:02 CEST - fwupd-refresh.timer fwupd-refresh.service
Wed 2024-10-09 17:48:10 CEST 46min Mon 2024-09-30 16:28:23 CEST - fstrim.timer fstrim.service
Wed 2024-10-09 19:21:25 CEST 2h 19min Sun 2024-09-29 15:08:40 CEST - apt-daily.timer apt-daily.service
Wed 2024-10-09 19:23:14 CEST 2h 21min Thu 2024-10-03 18:37:56 CEST - man-db.timer man-db.service
Wed 2024-10-09 20:04:51 CEST 3h 3min Sun 2024-09-29 15:08:40 CEST - motd-news.timer motd-news.service
Wed 2024-10-09 20:05:03 CEST 3h 3min Sun 2024-09-29 15:08:40 CEST - plocate-updatedb.timer plocate-updatedb.service
Thu 2024-10-10 00:00:00 CEST 6h Wed 2024-10-09 16:57:48 CEST 3min 40s ago dpkg-db-backup.timer dpkg-db-backup.service
Thu 2024-10-10 00:00:00 CEST 6h Wed 2024-10-09 16:57:48 CEST 3min 40s ago logrotate.timer logrotate.service
Sun 2024-10-13 03:10:24 CEST 3 days Sun 2024-10-06 16:39:39 CEST - e2scrub_all.timer e2scrub_all.service
- - Wed 2024-10-09 16:58:17 CEST 3min 13s ago anacron.timer anacron.service

12 timers listed.

Ho preso anche una screenshot.


Per (provare a) essere più realista del re, ho passato il comando:

Codice: Seleziona tutto

systemctl list-timers --all

... il risultato è lo stesso con o senza "--all".

Grazie, come sempre, per l'aiuto e l'interessamento!

[CUB3]

Senza una operazione programmata ne un demone attivo, la vedo dura che possa aggiornarsi automaticamente…

[Matilda12]

Senza una operazione programmata ne un demone attivo, la vedo dura che possa aggiornarsi automaticamente…

Non c'è bisogno della mia conferma, ma lo credo anch'io.
Sarei curioso di capire se accade la stessa cosa con una installazione fresca, per esempio, di Ubuntu ...

[CUB3]

Sarei curioso di capire se accade la stessa cosa con una installazione fresca, per esempio, di Ubuntu ...

Sì! Appena provato: quando si installa il pacchetto clamav, il servizio clamav-freshclam.service viene avviato in modo che vengano scaricati subito i database delle definizioni dei virus ma non viene attivato così che al successivo riavvio del sistema, questo servizio non si avvia.
Va quindi attivato con il comando già visto in precedenza.

[Matilda12]

Sì! Appena provato

quando si installa il pacchetto clamav, il servizio clamav-freshclam.service viene avviato in modo che vengano scaricati subito i database delle definizioni dei virus ma non viene attivato così che al successivo riavvio del sistema, questo servizio non si avvia.
Va quindi attivato con il comando già visto in precedenza.

Tanto per chiacchierare (e perdona se ti faccio sprecare del tempo), ma non è una cosa "strana"? Almeno, nella mia piccolissima esperienza, questo non capitava con le altre precedenti versioni.

[CUB3]

Non so come com'era configurato il pacchetto di ClamAV in precedenza perché, come sai, non l'ho mai utilizzato .
Si dovrebbe cercare nella mailing list di Ubuntu per vedere se c'è stata qualche modifica in merito...

[Matilda12]

@CUB3 ancora, di tutto!