Categories: Linux

19.11.2020 15:33 CET – ESET update der Engine/Signaturen zerschießt den Scanner

Es gibt Tage die sind länger als geplant, heute ist mal wieder so einer!

Wer ist Schuld? In dem Fall ganz einfach, ein Update des Linux File-/Mail-/Gateway Security Virenscanners der Firma ESET.
DeJaVu? Ja genau vor vielen Jahren gab’s schon mal so etwas ähnliches, war damals schon ärgerlich – ist es heute ebenso. 🙂

Der Eset Prozess stirbt also dank des Signatur oder Engine Updates einfach weg, ein Wiederbeleben klappt leider nicht – die Fehlermeldung beim
esets_update --verbose

lautet irgendwie mit „cannot create temp file“.

Wie bekommt man das Ganze am schnellsten wieder zum laufen?

Erstmal die aktuelle Version 4.5.16 von der Webseite des Herstellers nach /tmp/ laden, anschließen wie folgt vorgehen:

/etc/opt/eset sichern
apt-get remove --purge esets
bash /tmp/esets.amt64.deb.bin
enter
q
y
rücksichern von /etc/opt/eset
systemctl restart esets
esets_update --verbose

den letzten schritt eventuell mehrfach ausführen bis keine fehlermeldung mehr kommt, im zweifel die ganze prozedur wiederholen!

Hier ein Auszug meiner Meldungen bis der Scanner wieder lief:

root@srv:/etc/opt# systemctl restart esets
root@srv:/etc/opt# esets_update --verbose
Error extracting file.
root@srv:/etc/opt# esets_update --verbose
Virus signature database has been updated successfully.
error[0c990000]: Cannot get information about Antivirus modules: No such file or directory
root@srv:/etc/opt# esets_update --verbose
Virus signature database has been updated successfully.
ESETS Update utility
+-+--------------------+------------------------+------------------------+
| | Module | Available version | Installed version |
+-+--------------------+------------------------+------------------------+
| | loader | 1076 (20200313) | 1076 (20200313) |
|| perseus | 1566.4 (20201006) | 1565.1 (20200907) | || engine | 22334 (20201117) | 22067 (20200929) |
|| archiver | 1310 (20201029) | 1308 (20200922) | || heuristic | 1203 (20201015) | 1202 (20200730) |
|*| cleaner | 1214 (20200921) | 1213 (20200804) |
| | horus | 7861 (20200907) | 7861 (20200907) |
+-+--------------------+------------------------+------------------------+
Speicherzugriffsfehler (Speicherabzug geschrieben)
root@srv:/etc/opt# esets_update --verbose
Update is not necessary - the installed virus signature database is current.
ESETS Update utility
+-+--------------------+------------------------+------------------------+
| | Module | Available version | Installed version |
+-+--------------------+------------------------+------------------------+
| | loader | 1076 (20200313) | 1076 (20200313) |
| | perseus | 1566.4 (20201006) | 1566.4 (20201006) |
| | engine | 22334 (20201117) | 22334 (20201117) |
| | archiver | 1310 (20201029) | 1310 (20201029) |
| | heuristic | 1203 (20201015) | 1203 (20201015) |
| | cleaner | 1214 (20200921) | 1214 (20200921) |
| | horus | 7861 (20200907) | 7861 (20200907) |
+-+--------------------+------------------------+------------------------+

Viel Erfolg beim wiederherstellen eures Virenscanners falls es euch auch erwischt hat, ich hoffe dieser Beitrag erreicht euch rechtzeitig so dass ihr euch etwas Zeit bei der Suche einsparen könnt!

Freue mich über positive Rückmeldungen! 😉

Update 20.11.2020 09:00 Uhr – Das sagt der Support von ESET dazu:

gestern um ca. 15:00 Uhr kam es aufgrund eines fehlerhaften Moduls zu zwei unterschiedlichen Problemen die allerdings nicht in Verbindung zueinander standen:

Segmentation faults
False positives with Detection Engine 22346 (erkennung von Mails als Trojan.VBS/Agent.ORM)

Das fehlerhafte Modul wurde gestern um 16:02 von den Update Servern entfernt und ESET arbeitet hat bereits einen Hoftix bereitgestellt. Dazu muss nur das neueste Modulupdate geladen werden:

  • stop the esets service : systemctl stop esets
  • delete content of modules directory in /var/opt/eset/esets/lib/
  • delete content of update cache directory in /var/opt/eset/esets/lib/data/updfiles/
  • run update manually : sudo /opt/eset/esets/sbin/esets_update --verbose

Deleted modules will be replaced for fresh.

Die Ursache wird aktuell von ESET untersucht, der genaue Auslöser ist leider noch nicht bekannt.

Manfred

Recent Posts

VM – ZFS Partition online vergrößern

Man macht es nicht jeden Tag, darum schadet es nicht sich's kurz zu notieren... Hier…

1 Jahr ago

Samba Password History für einen User löschen

Meine Suche bei Google hatte mal wieder keinen vernünftigen Treffer gelandet, das Problem - ich…

1 Jahr ago

HP Eine Firma von der ich nicht mal geschenkte Drucker nehmen würde!!!

Ich muss mal eben etwas Druck ablassen, ein Kunde von mir setzt einen Drucker von…

2 Jahren ago

IRMC Console Redirection ohne Lizenz

Wer beim Server bestellen vergessen hat die erweiterte IRMC Lizenz zu ordern, der steht vor…

2 Jahren ago

WOL im BIOS aktivieren reicht nicht immer

Ich nutze seit langer Zeit ein System für meine Backups welches in der Nacht von…

2 Jahren ago

Apache Guacamole mit TOPT – funktioniert nicht

Es scheint wohl eine noch nicht so häufig genutzte Kombination zu sein - Apache Guacamole…

2 Jahren ago