19.11.2020 15:33 CET – ESET update der Engine/Signaturen zerschießt den Scanner

Es gibt Tage die sind länger als geplant, heute ist mal wieder so einer!

Wer ist Schuld? In dem Fall ganz einfach, ein Update des Linux File-/Mail-/Gateway Security Virenscanners der Firma ESET.
DeJaVu? Ja genau vor vielen Jahren gab’s schon mal so etwas ähnliches, war damals schon ärgerlich – ist es heute ebenso. 🙂

Der Eset Prozess stirbt also dank des Signatur oder Engine Updates einfach weg, ein Wiederbeleben klappt leider nicht – die Fehlermeldung beim
esets_update --verbose

lautet irgendwie mit „cannot create temp file“.

Wie bekommt man das Ganze am schnellsten wieder zum laufen?

Erstmal die aktuelle Version 4.5.16 von der Webseite des Herstellers nach /tmp/ laden, anschließen wie folgt vorgehen:

/etc/opt/eset sichern
apt-get remove --purge esets
bash /tmp/esets.amt64.deb.bin
enter
q
y
rücksichern von /etc/opt/eset
systemctl restart esets
esets_update --verbose
den letzten schritt eventuell mehrfach ausführen bis keine fehlermeldung mehr kommt, im zweifel die ganze prozedur wiederholen!

Hier ein Auszug meiner Meldungen bis der Scanner wieder lief:

root@srv:/etc/opt# systemctl restart esets
root@srv:/etc/opt# esets_update --verbose
Error extracting file.
root@srv:/etc/opt# esets_update --verbose
Virus signature database has been updated successfully.
error[0c990000]: Cannot get information about Antivirus modules: No such file or directory
root@srv:/etc/opt# esets_update --verbose
Virus signature database has been updated successfully.
ESETS Update utility
+-+--------------------+------------------------+------------------------+
| | Module | Available version | Installed version |
+-+--------------------+------------------------+------------------------+
| | loader | 1076 (20200313) | 1076 (20200313) |
|| perseus | 1566.4 (20201006) | 1565.1 (20200907) | || engine | 22334 (20201117) | 22067 (20200929) |
|| archiver | 1310 (20201029) | 1308 (20200922) | || heuristic | 1203 (20201015) | 1202 (20200730) |
|*| cleaner | 1214 (20200921) | 1213 (20200804) |
| | horus | 7861 (20200907) | 7861 (20200907) |
+-+--------------------+------------------------+------------------------+
Speicherzugriffsfehler (Speicherabzug geschrieben)
root@srv:/etc/opt# esets_update --verbose
Update is not necessary - the installed virus signature database is current.
ESETS Update utility
+-+--------------------+------------------------+------------------------+
| | Module | Available version | Installed version |
+-+--------------------+------------------------+------------------------+
| | loader | 1076 (20200313) | 1076 (20200313) |
| | perseus | 1566.4 (20201006) | 1566.4 (20201006) |
| | engine | 22334 (20201117) | 22334 (20201117) |
| | archiver | 1310 (20201029) | 1310 (20201029) |
| | heuristic | 1203 (20201015) | 1203 (20201015) |
| | cleaner | 1214 (20200921) | 1214 (20200921) |
| | horus | 7861 (20200907) | 7861 (20200907) |
+-+--------------------+------------------------+------------------------+

Viel Erfolg beim wiederherstellen eures Virenscanners falls es euch auch erwischt hat, ich hoffe dieser Beitrag erreicht euch rechtzeitig so dass ihr euch etwas Zeit bei der Suche einsparen könnt!

Freue mich über positive Rückmeldungen! 😉

Update 20.11.2020 09:00 Uhr – Das sagt der Support von ESET dazu:

gestern um ca. 15:00 Uhr kam es aufgrund eines fehlerhaften Moduls zu zwei unterschiedlichen Problemen die allerdings nicht in Verbindung zueinander standen:

Segmentation faults
False positives with Detection Engine 22346 (erkennung von Mails als Trojan.VBS/Agent.ORM)

Das fehlerhafte Modul wurde gestern um 16:02 von den Update Servern entfernt und ESET arbeitet hat bereits einen Hoftix bereitgestellt. Dazu muss nur das neueste Modulupdate geladen werden:

• stop the esets service : systemctl stop esets
• delete content of modules directory in /var/opt/eset/esets/lib/
• delete content of update cache directory in /var/opt/eset/esets/lib/data/updfiles/
• run update manually : sudo /opt/eset/esets/sbin/esets_update --verbose

Deleted modules will be replaced for fresh.

Die Ursache wird aktuell von ESET untersucht, der genaue Auslöser ist leider noch nicht bekannt.