Habe folgende Konstellation:
Linux RHEL 5.5, OSX 10.6.7, Apache 2.2.x, mod_clamav-0.23, clamav-0.97
- clamav und mod_clamav fehlerfrei kompiliert und installiert.
- Modul mod_clamav in Apache geladen
Situation:
Betrieb von mod_clamav im "ClamavMode Local".
mod_clamav erkennt keine Viren. Als Testdateien kommen die Virus Testdateien von eicar (com, zip, text) zum Einsatz.
- Aufruf http://localhost/eicar.zip
- scan_log zeigt den Request, jedoch scheint hier nichts gescannt zu werden. Eicar Virus wird nicht erkannt.
[23/Apr/2011:12:13:15 +0200] - application/zip - request="GET /eicar.zip HTTP/1.1", status=200, sent=184, delay=19407
- Aufruf http://localhost/clamav
Der Clamav Module Status sagt: nix gescant, nix gefunden...
Configuration
Version: 0.23
Scanner: local
Statistics
Total requests: 0
Checked for viruses: 0
Total data checked: 0 kB
Maximum request size: 0 bytes
Maximum virus size: 0 bytes
Viruses found: 0
Aborted: 0
Total CPU time: 0.000 sec
Database reloads: 0
Last 10 viruses found:
------------- Ausgabe von clamscan -------------
Der clamav Virenscanner selbst funktioniert.
Ob im Local oder im Daemon Mode gestartet kann ich jeweils ein "PING" senden und erhalte ein "PONG" zurück.
Ebenso funktioniert der clamav Scan:
Logs# clamscan ../htdocs
LibClamAV Warning: **************************************************
LibClamAV Warning: *** The virus database is older than 7 days! ***
LibClamAV Warning: *** Please update it as soon as possible. ***
LibClamAV Warning: **************************************************
../htdocs/eicar-1.com: Eicar-Test-Signature FOUND
../htdocs/eicar-2.com: Eicar-Test-Signature FOUND
../htdocs/eicar.com: Eicar-Test-Signature FOUND
../htdocs/eicar.html: Eicar-Test-Signature FOUND
../htdocs/eicar.zip: Eicar-Test-Signature FOUND
../htdocs/eicar2.zip: Eicar-Test-Signature FOUND
../htdocs/index.html: OK
----------- SCAN SUMMARY -----------
Known viruses: 880838
Engine version: 0.97
Scanned directories: 1
Scanned files: 7
Infected files: 6
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 4.237 sec (0 m 4 s)
Logs# clamdscan ../htdocs
/opt/local/apache2/logs/../htdocs/eicar.html: Eicar-Test-Signature FOUND
/opt/local/apache2/logs/../htdocs/eicar-1.com: Eicar-Test-Signature FOUND
/opt/local/apache2/logs/../htdocs/eicar-2.com: Eicar-Test-Signature FOUND
/opt/local/apache2/logs/../htdocs/eicar.com: Eicar-Test-Signature FOUND
/opt/local/apache2/logs/../htdocs/eicar.zip: Eicar-Test-Signature FOUND
/opt/local/apache2/logs/../htdocs/eicar2.zip: Eicar-Test-Signature FOUND
----------- SCAN SUMMARY -----------
Infected files: 6
Time: 0.109 sec (0 m 0 s)
Nun ist es ganz egal, ob das Modul mod_clamav im Local oder Daemon Mode aktiviert ist. Das Fehlerbild bleibt gleich. Es werden einfach keine Viren erkannt.
Daher meine Frage: kennt jemand dieses Fehlerbild oder kann dazu was sagen ?
Vermutung ist, es liegt am mod_proxy Modul, das der HTTP Request nicht an "libclamav" übergeben wird.
Seit Apache 2.2.x wurde das Proxy Modul überarbeitet und aufgetrennt in mod_proxy und mod_proxy_balancer. Beide Module müssen geladen sein. mod_proxy alleine geht nicht. Und hier scheint wohl das Problem zu liegen.
Oder ich mache grundsätzlich was falsch. Kann eigentlich nicht sein, weil unter Apache 2.0.x mit mod_clamav-0.21 und clamav-0.95.1 läuft es ! Das gleiche Fehlerbild habe ich nicht nur unter Linux, sondern auch auf anderen Plattformen wie beispielsweise unter OSX Snow Leopard.