ubuntuusers.de

via DuckDuckGo

clamonacc funktioniert nicht

Status: Gelöst | Ubuntu-Version: Ubuntu 24.04 (Noble Numbat)
Antworten |

neosofti

Avatar von neosofti

Anmeldungsdatum:
23. Juli 2008

Beiträge: Zähle...
Zitieren
8. Januar 2026 17:32 (zuletzt bearbeitet: 8. Januar 2026 17:34)

Hallo zusammen,

ich probiere gerade das clamonacc von clamav zum Laufen zu bringen. clamd.conf habe ich angepasst. Das Service/Daemon habe ich gestartet. Beim Öffnen b.z.w. Hantieren mit der Eicar-Test-Datei wird sie nicht als Virus erkannt. Beim scannen mit clamscan wird sie erkannt. 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
neo@ub-x64:~/Downloads$ clamscan 
Loading:     6s, ETA:   0s [========================>]    3.63M/3.63M sigs       
Compiling:   2s, ETA:   0s [========================>]       41/41 tasks 

/home/neo/Downloads/maual_scan.log: Empty file
/home/neo/Downloads/eicar.txt: Eicar-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 3627109
Engine version: 1.4.3
Scanned directories: 1
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 7.672 sec (0 m 7 s)
Start Date: 2026:01:08 17:14:03
End Date:   2026:01:08 17:14:11

Status von clamav-daemon 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
neo@ub-x64:~$ systemctl  status clamav-daemon
● clamav-daemon.service - Clam AntiVirus userspace daemon
     Loaded: loaded (/usr/lib/systemd/system/clamav-daemon.service; enabled; preset: enabled)
    Drop-In: /etc/systemd/system/clamav-daemon.service.d
             └─extend.conf
     Active: active (running) since Thu 2026-01-08 17:17:34 CET; 2s ago
TriggeredBy:  clamav-daemon.socket
       Docs: man:clamd(8)
             man:clamd.conf(5)
             https://docs.clamav.net/
    Process: 376136 ExecStartPre=/bin/mkdir -p /run/clamav (code=exited, status=0/SUCCESS)
    Process: 376154 ExecStartPre=/bin/chown clamav /run/clamav (code=exited, status=0/SUCCESS)
   Main PID: 376156 (clamd)
      Tasks: 1 (limit: 33090)
     Memory: 257.0M (peak: 257.2M)
        CPU: 2.397s
     CGroup: /system.slice/clamav-daemon.service
             └─376156 /usr/sbin/clamd --foreground=true

Jan 08 17:17:34 ub-x64 systemd[1]: Starting clamav-daemon.service - Clam AntiVirus userspace daemon...
Jan 08 17:17:34 ub-x64 systemd[1]: Started clamav-daemon.service - Clam AntiVirus userspace daemon.
Jan 08 17:17:34 ub-x64 clamd[376156]: Received 1 file descriptor(s) from systemd.
Jan 08 17:17:34 ub-x64 clamd[376156]: clamd daemon 1.4.3 (OS: Linux, ARCH: x86_64, CPU: x86_64)
Jan 08 17:17:34 ub-x64 clamd[376156]: Log file size limited to 9223372036854775807 bytes.
Jan 08 17:17:34 ub-x64 clamd[376156]: Reading databases from /var/lib/clamav
Jan 08 17:17:34 ub-x64 clamd[376156]: Not loading PUA signatures.
Jan 08 17:17:34 ub-x64 clamd[376156]: Bytecode: Security mode set to "TrustSigned".

Status von clamav-clamonacc.service 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
neo@ub-x64:~$ systemctl  status clamav-clamonacc.service  clamav-clamonacc.service - ClamAV On-Access Scanner
     Loaded: loaded (/usr/lib/systemd/system/clamav-clamonacc.service; enabled; preset: enabled)
     Active: active (running) since Thu 2026-01-08 17:19:12 CET; 2s ago
       Docs: man:clamonacc(8)
             man:clamd.conf(5)
             https://docs.clamav.net/
    Process: 379862 ExecStartPre=/bin/bash -c while [ ! -S /run/clamav/clamd.ctl ]; do sleep 1; done (code=exited, status=0/SUCCESS)
   Main PID: 379866 (clamonacc)
      Tasks: 7 (limit: 33090)
     Memory: 3.5M (peak: 4.7M)
        CPU: 511ms
     CGroup: /system.slice/clamav-clamonacc.service
             └─379866 /usr/sbin/clamonacc -F --log=/var/log/clamav/clamonacc.log --move=/root/quarantine

Jan 08 17:19:14 ub-x64 clamonacc[379866]: /usr/bin/dash: Access denied. ERROR
Jan 08 17:19:14 ub-x64 clamonacc[379866]: /usr/bin/dash: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/lsb_release: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/lsb_release: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/lsb_release: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/getopt: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/getopt: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/cut: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/tr: Access denied. ERROR
Jan 08 17:19:15 ub-x64 clamonacc[379866]: /usr/bin/tr: Access denied. ERROR

Komisch hier ist, dass ich als Pfad in die clamav.conf /home/neo eingegeben habe und nicht /.

Hier den Zugriff auf Eicar-Text-Datei. Normalerweise soll die clamonacc den Zugriff mit einer Warnung verweigern 

1
2
neo@ub-x64:~$ cat Downloads/eicar.txt 
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Und als letzeres die Konfigurationsdatei von Clamav clamd.conf , freshclam.conf und clamav-milter.conf, wobei die letzten zwei wurden automatisch durch sudo dpkg-reconfigure clamav-daemon generiert. 

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
Checking configuration files in /etc/clamav

Config file: clamd.conf
-----------------------
AlertExceedsMax disabled
CacheSize = "65536"
PreludeEnable disabled
PreludeAnalyzerName = "ClamAV"
LogFile = "/var/log/clamav/clamav.log"
LogFileUnlock disabled
LogFileMaxSize = "9223372036854775807"
LogTime = "yes"
LogClean disabled
LogSyslog = "yes"
LogFacility = "LOG_LOCAL6"
LogVerbose disabled
LogRotate = "yes"
ExtendedDetectionInfo = "yes"
PidFile disabled
TemporaryDirectory disabled
DatabaseDirectory = "/var/lib/clamav"
OfficialDatabaseOnly disabled
FailIfCvdOlderThan disabled
LocalSocket = "/var/run/clamav/clamd.ctl"
LocalSocketGroup = "clamav"
LocalSocketMode = "666"
FixStaleSocket = "yes"
TCPSocket disabled
TCPAddr disabled
MaxConnectionQueueLength = "15"
StreamMaxLength = "26214400"
StreamMinPort = "1024"
StreamMaxPort = "2048"
MaxThreads = "12"
ReadTimeout = "180"
CommandReadTimeout = "30"
SendBufTimeout = "200"
MaxQueue = "100"
IdleTimeout = "30"
ExcludePath disabled
MaxDirectoryRecursion = "15"
FollowDirectorySymlinks disabled
FollowFileSymlinks = "yes"
CrossFilesystems = "yes"
SelfCheck = "3600"
ConcurrentDatabaseReload = "yes"
DisableCache disabled
VirusEvent disabled
ExitOnOOM disabled
AllowAllMatchScan = "yes"
Foreground disabled
Debug disabled
LeaveTemporaryFiles disabled
GenerateMetadataJson disabled
User = "clamav"
Bytecode = "yes"
BytecodeSecurity = "TrustSigned"
BytecodeTimeout = "60000"
BytecodeUnsigned disabled
BytecodeMode = "Auto"
DetectPUA disabled
ExcludePUA disabled
IncludePUA disabled
ScanPE = "yes"
ScanELF = "yes"
ScanMail = "yes"
ScanPartialMessages disabled
PhishingSignatures = "yes"
PhishingScanURLs = "yes"
HeuristicAlerts = "yes"
HeuristicScanPrecedence disabled
StructuredDataDetection disabled
StructuredMinCreditCardCount = "3"
StructuredMinSSNCount = "3"
StructuredSSNFormatNormal = "yes"
StructuredSSNFormatStripped disabled
ScanHTML = "yes"
ScanOLE2 = "yes"
AlertBrokenExecutables disabled
AlertBrokenMedia disabled
AlertEncrypted disabled
StructuredCCOnly disabled
AlertEncryptedArchive disabled
AlertEncryptedDoc disabled
AlertOLE2Macros disabled
AlertPhishingSSLMismatch disabled
AlertPhishingCloak disabled
AlertPartitionIntersection disabled
ScanPDF = "yes"
ScanSWF = "yes"
ScanXMLDOCS = "yes"
ScanHWP3 = "yes"
ScanOneNote = "yes"
ScanArchive = "yes"
ScanImage = "yes"
ScanImageFuzzyHash = "yes"
ForceToDisk disabled
MaxScanTime = "120000"
MaxScanSize = "104857600"
MaxFileSize = "26214400"
MaxRecursion = "16"
MaxFiles = "10000"
MaxEmbeddedPE = "10485760"
MaxHTMLNormalize = "10485760"
MaxHTMLNoTags = "2097152"
MaxScriptNormalize = "5242880"
MaxZipTypeRcg = "1048576"
MaxPartitions = "50"
MaxIconsPE = "100"
MaxRecHWP3 = "16"
PCREMatchLimit = "10000"
PCRERecMatchLimit = "5000"
PCREMaxFileSize = "26214400"
OnAccessMountPath = "/home/neo"
OnAccessIncludePath disabled
OnAccessExcludePath disabled
OnAccessExcludeRootUID disabled
OnAccessExcludeUID disabled
OnAccessExcludeUname = "clamav"
OnAccessMaxFileSize = "4194304000"
OnAccessDisableDDD disabled
OnAccessPrevention disabled
OnAccessExtraScanning = "yes"
OnAccessCurlTimeout = "5000"
OnAccessMaxThreads = "5"
OnAccessRetryAttempts disabled
OnAccessDenyOnError disabled
DevACOnly disabled
DevACDepth disabled
DevPerformance disabled
DevLiblog disabled
DisableCertCheck disabled
AlgorithmicDetection = "yes"
BlockMax disabled
PhishingAlwaysBlockSSLMismatch disabled
PhishingAlwaysBlockCloak disabled
PartitionIntersection disabled
OLE2BlockMacros disabled
ArchiveBlockEncrypted disabled

Config file: freshclam.conf
---------------------------
LogFileMaxSize = "9223372036854775807"
LogTime = "yes"
LogSyslog disabled
LogFacility = "LOG_LOCAL6"
LogVerbose disabled
LogRotate = "yes"
PidFile disabled
DatabaseDirectory = "/var/lib/clamav"
Foreground disabled
Debug disabled
UpdateLogFile = "/var/log/clamav/freshclam.log"
DatabaseOwner = "clamav"
Checks = "24"
DNSDatabaseInfo = "current.cvd.clamav.net"
DatabaseMirror = "db.local.clamav.net", "database.clamav.net"
PrivateMirror disabled
MaxAttempts = "5"
ScriptedUpdates = "yes"
TestDatabases = "yes"
CompressLocalDatabase disabled
ExtraDatabase disabled
ExcludeDatabase disabled
DatabaseCustomURL disabled
HTTPProxyServer disabled
HTTPProxyPort disabled
HTTPProxyUsername disabled
HTTPProxyPassword disabled
HTTPUserAgent disabled
NotifyClamd = "/etc/clamav/clamd.conf"
OnUpdateExecute disabled
OnErrorExecute disabled
OnOutdatedExecute disabled
LocalIPAddress disabled
ConnectTimeout = "30"
ReceiveTimeout disabled
Bytecode = "yes"

Config file: clamav-milter.conf
-------------------------------
LogFile = "/var/log/clamav/clamav-milter.log"
LogFileUnlock disabled
LogFileMaxSize = "1048576"
LogTime = "yes"
LogSyslog disabled
LogFacility = "LOG_LOCAL6"
LogVerbose disabled
LogRotate = "yes"
PidFile = "/var/run/clamav/clamav-milter.pid"
TemporaryDirectory = "/tmp"
FixStaleSocket = "yes"
MaxThreads = "10"
ReadTimeout = "120"
Foreground disabled
User = "clamav"
MaxFileSize = "26214400"
ClamdSocket = "unix:/var/run/clamav/clamd.ctl"
MilterSocket = "/var/run/clamav/clamav-milter.ctl"
MilterSocketGroup = "clamav"
MilterSocketMode = "666"
LocalNet disabled
OnClean = "Accept"
OnInfected = "Quarantine"
OnFail = "Defer"
RejectMsg disabled
AddHeader = "Replace"
ReportHostname disabled
VirusAction disabled
Chroot disabled
AllowList disabled
Whitelist disabled
SkipAuthenticated disabled
LogInfected = "Off"
LogClean = "Off"
SupportMultipleRecipients disabled

Software settings
-----------------
Version: 1.4.3
Optional features supported: MEMPOOL AUTOIT_EA06 ICONV RAR 

Database information
--------------------
Database directory: /var/lib/clamav
main.cvd: version 63, sigs: 3287027, built on Wed Dec 17 00:18:22 2025
bytecode.cvd: version 339, sigs: 80, built on Thu Sep 11 14:29:19 2025
daily.cvd: version 27869, sigs: 354683, built on Sat Jan  3 08:25:47 2026
Total number of signatures: 3641790

Platform information
--------------------
uname: Linux 6.14.0-37-generic #37~24.04.1-Ubuntu SMP PREEMPT_DYNAMIC Thu Nov 20 10:25:38 UTC 2 x86_64
OS: Linux, ARCH: x86_64, CPU: x86_64
Full OS version: Ubuntu 24.04.3 LTS
zlib version: 1.3 (1.3), compile flags: a9
platform id: 0x0a21d5d508000000000d0300

Build information
-----------------
GNU C: 13.3.0 (13.3.0)
sizeof(void*) = 8
Engine flevel: 213, dconf: 213

Nutzt jemand von euch schon clamonacc und vor allem wie hat ihr es konfiguriert.

neosofti

(Themenstarter)
Avatar von neosofti

Anmeldungsdatum:
23. Juli 2008

Beiträge: Zähle...
Zitieren
11. Januar 2026 16:28 (zuletzt bearbeitet: 11. Januar 2026 16:58)

Bis jetzt habe ich es nicht zum Laufen gebracht. 

1
*** ScanOnAccess is DEPRECATED ***

Laut meine Recherche :

Ubuntu nutzt standardmäßig AppArmor, um Dienste abzusichern. Das Standard-Profil für den ClamAV-Daemon erlaubt diesem oft nicht die notwendigen Kernel-Berechtigungen (CAP_SYS_ADMIN), die für die fanotify-Schnittstelle (die Basis für On-Access-Scans) erforderlich sind. Dies führt dazu, dass der Scan-Dienst blockiert wird, selbst wenn er konfiguriert ist.

Damit ClamAV Dateien beim Zugriff blockieren kann (OnAccessPrevention), muss der Dienst mit Root-Rechten laufen. Standardmäßig läuft der clamav-daemon unter Ubuntu jedoch aus Sicherheitsgründen unter dem eingeschränkten Benutzer clamav. Die Aktivierung von On-Access-Scans würde also bedeuten, die Sicherheitsbarriere des Dienstes zu schwächen.

Ich bin echt enttäuscht vom Forum. Über 270 Mal wurde das Thema angeschaut und keiner hat etwas geschrieben. Jedes Problem, dass ich hier hinzugefügt habe und meistens die funktionierende Lösung selber gebastelt habe, habe ich auch geteilt. So kann sie vielleicht von jemandem ins Wiki aufgenommen werden, da ich keine Zeit dafür habe. Beim letzteren Fall, wurde ich blöd angemacht https://forum.ubuntuusers.de/topic/vmware-workstation-kernelmodul-vmmon-kann-nich/, statt einfach einen freundlichen Hinweis zu geben, dass es das falsche Thema u.s.w. ist. Seit 2007 bin ich Linux- speziell Ubuntu-Nutzer und seit 2008 nutze ich das Forum mehr oder weniger. Das war mein letzter Betrag hier. Ich wechsle einfach zu den offiziellen

https://discourse.ubuntu.com/
https://askubuntu.com/

Ich wünsche euch alles Gute.

Bearbeitet von schwarzheit:

Falschen Codeblock entfernt.

sh4711 Team-Icon

Moderator

Anmeldungsdatum:
13. Februar 2011

Beiträge: 1391
Zitieren
12. Januar 2026 09:50

neosofti schrieb:

... Nutzt jemand von euch schon clamonacc und vor allem wie hat ihr es konfiguriert.

Nein, nutze ich nicht.

... und vor allem wie hat ihr es konfiguriert.

Gar nicht.

neosofti schrieb:

... Ich bin echt enttäuscht vom Forum. Über 270 Mal wurde das Thema angeschaut und keiner hat etwas geschrieben.

Bist du, nachdem was ich oben geschrieben habe, nun weniger enttäuscht? Schließlich habe ich nun etwas geschrieben.

Ist dir nicht mal der Gedanke gekommen, dass keiner der 270 Leser einen sinnvollen Kommentar schreiben konnte und das völlig ohne jeden böswilligen Hintergedanken.

Jedes Problem, dass ich hier hinzugefügt habe und meistens die funktionierende Lösung selber gebastelt habe, habe ich auch geteilt.

Danke, dass sollte eigentlich auch normal sein. Danke nochmal dafür.

..., da ich keine Zeit dafür habe.

Ein Hoch auf die, die sich hier beteiligen unabhängig davon ob sie Zeit haben oder nicht.

Seit 2007 bin ich Linux- speziell Ubuntu-Nutzer und seit 2008 nutze ich das Forum mehr oder weniger.

Das Wiki hast du noch vergessen.

... Das war mein letzter Betrag hier.

Das ist Schade. 🙄 Lesend wirst du aber schon noch das Forum und das Wiki benutzen, um Informationen abzugreifen, oder?

... Ich wechsle einfach zu den offiziellen

👍

Ich wünsche euch alles Gute.

Das wünsche ich dir auch.

Hast du mal in deine LOgs geschaut bzw. die mal gepostet?
Hast du mal ChatGPT kontaktiert?
Der fragt sich warum du OnAccessIncludePath disabled gemacht hast.
Der fragt sich warum du nicht den Paramater --fdpass beim Start von clamonacc verwendest.
also: 

sudo tail -f /var/log/clamav/clamonacc.log /var/log/clamav/clamav.log

Was sagt das log zu: 

cp /pfad/zur/eicar.com /home/neo/eicar.com
cat /home/neo/eicar.com >/dev/null

Was passiert bei: 

sudo -u clamav clamdscan --fdpass /home/neo/eicar.com

und wass liefert: 

journalctl -u clamav-daemon -u clamav-clamonacc --no-pager -n 200

Gruß sh

sh4711 Team-Icon

Moderator

Anmeldungsdatum:
13. Februar 2011

Beiträge: 1391
Zitieren
12. Januar 2026 11:03

@neosofti
Du hast auf gelöst gestellt.
Woran lag es denn nun, dass es nicht funktioniert hat?

Gruß sh

schwarzheit Team-Icon

Supporter
Avatar von schwarzheit

Anmeldungsdatum:
31. Dezember 2007

Beiträge: 7975
Zitieren
12. Januar 2026 12:16

sh4711 schrieb:

... der 270 Leser...

Ist hier niemanden klar das es keine 270 und mittlerweile mehr Leser sind?

Es sind Bots und Suchmaschinenabfragen. Die Zahl an sich ist vollkommen nichtsaussagend.

sh4711 Team-Icon

Moderator

Anmeldungsdatum:
13. Februar 2011

Beiträge: 1391
Zitieren
12. Januar 2026 14:10

schwarzheit schrieb:

... Es sind Bots und Suchmaschinenabfragen. ...

Danke für den Hinweis ... so weit habe ich gar nicht gedacht.

Aber trotzdem:
@neosofti
Woran hat et jelegen?

Gruß sh

neosofti

(Themenstarter)
Avatar von neosofti

Anmeldungsdatum:
23. Juli 2008

Beiträge: 42
Zitieren
14. Januar 2026 12:41

Ja, ich habe es zum Laufen gebracht. 

1
2
3
neo@ub-x64:~/Downloads$ less virus.txt 
virus.txt: Vorgang nicht zulässig
neo@ub-x64:~/Downloads$

Jetzt wird auch jedes Download von Chrome geprüft. Die Lösung später. Ich muss zur Arbeit.

Bilder

sh4711 Team-Icon

Moderator

Anmeldungsdatum:
13. Februar 2011

Beiträge: 1391
Zitieren
14. Januar 2026 17:42

neosofti schrieb:

... Die Lösung später. ...

👍

Vielen Dank schon einmal für die Rückmeldung.

Gruß sh

neosofti

(Themenstarter)
Avatar von neosofti

Anmeldungsdatum:
23. Juli 2008

Beiträge: 42
Zitieren
15. Januar 2026 03:03 (zuletzt bearbeitet: 15. Januar 2026 11:57)

Ich habe es zum Laufen gebracht. Die ganzen KI's haben nichts gebracht. Ich habe Zugriff auf die bezahlten Copilot, Gemini und andere 7 KI's über KI:connect.nrw, aber die Lösung musste ich mir selber mit der Hilfe von Debian-, Archlinux-Foren und Selbsttests basteln.

Mir fehlt Avira mit dem DazukoFS Modul.Herunterladen, kompilieren, installieren und konfigurieren. Danach musste ich nur die Logs ab und zu anschauen. So jetzt zur Thema.

Wenn ich das ganze Home-Verzeichnis zum Überwachen angebe, lagt nach dem Login das System. Es wird jeden einzelnen Zugriff von clamonacc an clamav geleitet und erst nach der Prüfung wird die Datei aufgemacht. Es spielt keine Rolle welche von beiden Parameter OnAccessMountPath oder OnAccessMountPath in clamd.conf freigeschaltet ist. Sogar bei den ersten ist schlimmer. ScanOnAccess im clamd.conf habe ich ausgeschaltet, da es von clamav selbst gesperrt ist. Meine Vermutung ist , dass man bei der Kompilierung des Packets es ausgeschaltet hat. Dazu habe ich auch /usr/lib/systemd/system/clamav-clamonacc.service auch angepasst, damit clamoacc mit clamav über das locale Unix Port kommunizieren kann. Ich habe clamd.conf so eingestellt , dass clamonacc nur der Download Ordner überwacht, da ich alles dadrin herunterlade und wenn da etwas auftaucht, wird es sofort unter Quarantine gesetzt. Das funktioniert wunderbar mit Chrome. Ob es so mit dem Snap von Firefox läuft, habe ich nicht getestet. Eventuell muss man auch snap als Path zum Überwachung hinzufügen. Es macht soweit Sinn, es zu machen falls man z.B. mit Eclipse, Goland u.s.w. Githubrepos oder ähnliches nutzt, oder alle Github u.s.w. Projekte in Download herunterlädt.

Die Infos in der Wiki sind nicht richtig nützlich. Angeblich soll nach der Installation alles von selbst funktionieren, aber es ist nicht war. clamav,clamd und clamonacc tun nichts, überwachen nichts, geben keine Warnmeldungen oder bewegen etwas in der Quarantäne. Sie verbrauchen nur Prozessorleistung und RAM für nichts. Sogar freshclam holt seine Updates nicht, obwohl er es regelmäßig machen muss.

Meine Anpassungen - Schritt für Schritt

Als erstes musste ich clamav-daemon Packet rekonfigurieren. Es ist wichtig, dass dort den lokalen Unix Port eingestellt wird, sonst kann clamonacc mit dem Parameter --fdpass nicht mit clamd kommunizieren. 

1
neo@ub-x64:~$ sudo dpkg-reconfigure clamav-daemon

Danach habe ich clamd.conf angepasst, wobei ein Teil bei der Rekonfiguration der Daemon automatisch durch verschiedenen Fragen eingestellt werden. 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
#Automatically Generated by clamav-daemon postinst
#To reconfigure clamd run #dpkg-reconfigure clamav-daemon
#Please read /usr/share/doc/clamav-daemon/README.Debian.gz for details
LocalSocket /var/run/clamav/clamd.ctl
FixStaleSocket true
LocalSocketGroup clamav
LocalSocketMode 666
# TemporaryDirectory is not set to its default /tmp here to make overriding
# the default with environment variables TMPDIR/TMP/TEMP possible
User clamav
ScanMail true
ScanArchive true
ArchiveBlockEncrypted false
MaxDirectoryRecursion 15
FollowDirectorySymlinks false
FollowFileSymlinks true
ReadTimeout 180
MaxThreads 12
MaxConnectionQueueLength 15
LogSyslog true
LogRotate true
LogFacility LOG_LOCAL6
LogClean false
LogVerbose false
PreludeEnable no
PreludeAnalyzerName ClamAV
DatabaseDirectory /var/lib/clamav
OfficialDatabaseOnly false
SelfCheck 3600
Foreground false
Debug false
ScanPE true
MaxEmbeddedPE 10M
ScanOLE2 true
ScanPDF true
ScanHTML true
MaxHTMLNormalize 10M
MaxHTMLNoTags 2M
MaxScriptNormalize 5M
MaxZipTypeRcg 1M
ScanSWF true
ExitOnOOM false
LeaveTemporaryFiles false
AlgorithmicDetection true
ScanELF true
IdleTimeout 30
CrossFilesystems true
PhishingSignatures true
PhishingScanURLs true
PhishingAlwaysBlockSSLMismatch false
PhishingAlwaysBlockCloak false
PartitionIntersection false
DetectPUA false
ScanPartialMessages false
HeuristicScanPrecedence false
StructuredDataDetection false
CommandReadTimeout 30
SendBufTimeout 200
MaxQueue 100
ExtendedDetectionInfo true
OLE2BlockMacros false
AllowAllMatchScan true
ForceToDisk false
DisableCertCheck false
DisableCache false
MaxScanTime 120000
MaxScanSize 100M
MaxFileSize 25M
MaxRecursion 16
MaxFiles 10000
MaxPartitions 50
MaxIconsPE 100
PCREMatchLimit 10000
PCRERecMatchLimit 5000
PCREMaxFileSize 25M
ScanXMLDOCS true
ScanHWP3 true
MaxRecHWP3 16
StreamMaxLength 25M
LogFile /var/log/clamav/clamav.log
LogTime true
LogFileUnlock false
LogFileMaxSize 0
Bytecode true
BytecodeSecurity TrustSigned
BytecodeTimeout 60000
OnAccessMaxFileSize 4000M

# meine Zusatzoptionen
# OnAccessMountPath /home/neo
OnAccessIncludePath /home/neo/Downloads
OnAccessExcludeUname clamav
OnAccessPrevention yes
OnAccessExtraScanning yes
# ScanOnAccess yes

Jetzt folgen die Einstellungen von /usr/lib/systemd/system/clamav-clamonacc.service. Da habe ich nur --fdpass hinzugefügt 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
neo@ub-x64:~$ cat /usr/lib/systemd/system/clamav-clamonacc.service
# clamonacc systemd service file primarily the work of ChadDevOps & Aaron Brighton
# See: https://medium.com/@aaronbrighton/installation-configuration-of-clamav-antivirus-on-ubuntu-18-04-a6416bab3b41#a340

[Unit]
Description=ClamAV On-Access Scanner
Documentation=man:clamonacc(8) man:clamd.conf(5) https://docs.clamav.net/
Requires=clamav-daemon.service
After=clamav-daemon.service syslog.target network.target

[Service]
Type=simple
User=root
ExecStartPre=/bin/bash -c "while [ ! -S /run/clamav/clamd.ctl ]; do sleep 1; done"
ExecStart=/usr/sbin/clamonacc --fdpass -F --log=/var/log/clamav/clamonacc.log --move=/root/quarantine
ExecStop=/bin/kill -SIGKILL $MAINPID

[Install]
WantedBy=multi-user.target

Beide habe ich neu gestartet und den status von jedem überprüft 

1
2
3
4
neo@ub-x64:~$ sudo systemctl restart clamav-daemon.service
neo@ub-x64:~$ sudo systemctl restart clamav-clamonacc.service 
neo@ub-x64:~$ sudo systemctl status clamav-daemon.service
neo@ub-x64:~$ sudo systemctl status clamav-clamonacc.service

Dann habe ich Eicar heruntergeladen und das Download wurde automatisch blockiert. Als ich selber die Eicar-Datei mit dem Editor erstellte und auf dem Speichern in Downloadordner drückte, wurde sie automatisch im Quarantäne verschoben. Quasi alles, dass als Virus oder Malware erkannt wird, landet automatisch im Quarantäne. So ein Auszug aus dem Terminal und ein Foto. Man sieht wo alles gelandet ist und die abgebrochenen und verschobenen Downloads von Chrome. Vor alle diese Einstellungen wurde die Eicar.zip heruntergeladen. 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
neo@ub-x64:~$ sudo systemctl status clamav-daemon.service  clamav-daemon.service - Clam AntiVirus userspace daemon
     Loaded: loaded (/usr/lib/systemd/system/clamav-daemon.service; enabled; preset: enabled)
    Drop-In: /etc/systemd/system/clamav-daemon.service.d
             └─extend.conf
     Active: active (running) since Thu 2026-01-15 01:24:41 CET; 1min 17s ago
TriggeredBy:  clamav-daemon.socket
       Docs: man:clamd(8)
             man:clamd.conf(5)
             https://docs.clamav.net/
    Process: 301693 ExecStartPre=/bin/mkdir -p /run/clamav (code=exited, status=0/SUCCESS)
    Process: 301695 ExecStartPre=/bin/chown clamav /run/clamav (code=exited, status=0/SUCCESS)
   Main PID: 301697 (clamd)
      Tasks: 3 (limit: 33089)
     Memory: 1.0G (peak: 1.0G)
        CPU: 5.700s
     CGroup: /system.slice/clamav-daemon.service
             └─301697 /usr/sbin/clamd --foreground=true

Jan 15 01:24:47 ub-x64 clamd[301697]: OneNote support enabled.
Jan 15 01:24:47 ub-x64 clamd[301697]: Self checking every 3600 seconds.
Jan 15 01:25:30 ub-x64 clamd[301697]: Thu Jan 15 01:25:30 2026 -> /home/neo/Downloads/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d>
Jan 15 01:25:30 ub-x64 clamd[301697]: /home/neo/Downloads/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d8475545be5ba114f208b0ff:184)>
Jan 15 01:25:30 ub-x64 clamd[301697]: Thu Jan 15 01:25:30 2026 -> /root/quarantine/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d847>
Jan 15 01:25:30 ub-x64 clamd[301697]: /root/quarantine/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d8475545be5ba114f208b0ff:184) FO>
Jan 15 01:25:30 ub-x64 clamd[301697]: Thu Jan 15 01:25:30 2026 -> /root/quarantine/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d847>
Jan 15 01:25:30 ub-x64 clamd[301697]: /root/quarantine/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d8475545be5ba114f208b0ff:184) FO>
Jan 15 01:25:30 ub-x64 clamd[301697]: Thu Jan 15 01:25:30 2026 -> /root/quarantine/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d847>
Jan 15 01:25:30 ub-x64 clamd[301697]: /root/quarantine/.com.google.Chrome.nebOZn: Eicar-Test-Signature(6ce6f415d8475545be5ba114f208b0ff:184) FO>
neo@ub-x64:~$ sudo systemctl status clamav-clamonacc.service  clamav-clamonacc.service - ClamAV On-Access Scanner
     Loaded: loaded (/usr/lib/systemd/system/clamav-clamonacc.service; enabled; preset: enabled)
     Active: active (running) since Thu 2026-01-15 01:24:45 CET; 1min 17s ago
       Docs: man:clamonacc(8)
             man:clamd.conf(5)
             https://docs.clamav.net/
    Process: 301794 ExecStartPre=/bin/bash -c while [ ! -S /run/clamav/clamd.ctl ]; do sleep 1; done (code=exited, status=0/SUCCESS)
   Main PID: 301796 (clamonacc)
      Tasks: 8 (limit: 33089)
     Memory: 2.8M (peak: 4.0M)
        CPU: 20ms
     CGroup: /system.slice/clamav-clamonacc.service
             └─301796 /usr/sbin/clamonacc --fdpass -F --log=/var/log/clamav/clamonacc.log --move=/root/quarantine

Jan 15 01:25:30 ub-x64 clamonacc[301796]: /home/neo/Downloads/.com.google.Chrome.nebOZn: Eicar-Test-Signature FOUND
Jan 15 01:25:30 ub-x64 clamonacc[301796]: traverse_rename: Failed to rename: /home/neo/Downloads/.com.google.Chrome.nebOZn
Jan 15 01:25:30 ub-x64 clamonacc[301796]:         to: /root/quarantine/.com.google.Chrome.nebOZn.001
Jan 15 01:25:30 ub-x64 clamonacc[301796]: Error:No such file or directory
Jan 15 01:25:30 ub-x64 clamonacc[301796]: ERROR: Can't move file /home/neo/Downloads/.com.google.Chrome.nebOZn to /root/quarantine/.com.google.>
Jan 15 01:25:30 ub-x64 clamonacc[301796]: /home/neo/Downloads/.com.google.Chrome.nebOZn: Eicar-Test-Signature FOUND
Jan 15 01:25:30 ub-x64 clamonacc[301796]: traverse_rename: Failed to rename: /home/neo/Downloads/.com.google.Chrome.nebOZn
Jan 15 01:25:30 ub-x64 clamonacc[301796]:         to: /root/quarantine/.com.google.Chrome.nebOZn.001
Jan 15 01:25:30 ub-x64 clamonacc[301796]: Error:No such file or directory
Jan 15 01:25:30 ub-x64 clamonacc[301796]: ERROR: Can't move file /home/neo/Downloads/.com.google.Chrome.nebOZn to /root/quarantine/.com.google.>
neo@ub-x64:~$ sudo ls -l /root/quarantine
insgesamt 56
-rw------- 1 neo neo 4958 Jan 15 01:02 098bd0f7d8ca7053_0
-rw------- 1 neo neo 3562 Jan 15 01:20 098bd0f7d8ca7053_0.001
-rw-rw-r-- 1 neo neo   69 Jan 15 01:19 487c66fd-d50d-4e35-8173-088978b7f374
-rw-rw-r-- 1 neo neo   68 Mai 24  2000 eicar.com.txt
-rw-rw-r-- 1 neo neo   69 Jan  8 15:34 eicar.txt
-rw-rw-r-- 1 neo neo   69 Jan 15 00:48 eicar.txt.001
-rw-rw-r-- 1 neo neo   69 Jan 15 00:59 eicar.txt.002
-rw-rw-r-- 1 neo neo   69 Jan 15 00:51 eicar.txt.002.001.001.001
-rw-rw-r-- 1 neo neo   69 Jan 15 01:19 readme.txt
-rw-rw-r-- 1 neo neo   69 Jan 15 00:59 readme.txt.001
-rw-rw-r-- 1 neo neo   69 Jan 15 01:19 readme.txt.002
-rw-rw-r-- 1 neo neo   69 Jan 15 01:19 readme.txt.003
-rw-rw-r-- 1 neo neo   69 Jan 15 00:45 virus.txt
neo@ub-x64:~$ ^C

Für mich ist das nur die halbe Lösung. Normalerweise muss alles in Home geprüft werden und ohne spürbare Wartezeiten oder Lags funktionieren. Auf jeden Fall werde ich in einer VM von Ubuntu die Pakete von Clamav selber kompilieren und installieren. Mal schauen, ob dann es besser läuft. In einer WM werde ich auch Archlinux und Fedora testen, ob da es problemlos funktioniert.

Bilder

sh4711 Team-Icon

Moderator

Anmeldungsdatum:
13. Februar 2011

Beiträge: 1391
Zitieren
15. Januar 2026 16:33

neosofti schrieb:

... Die ganzen KI's haben nichts gebracht. ...

Verteufel die KI's bitte nicht, das tut denen sicher im Herzen weh 😉

Und ganz so schlecht war ja ChatGPT nicht, mit dem Hinweis auf OnAccessIncludePath disabled und --fdpass. Das sind ja elementare Hinweise gewesen, ohne die es nicht funktioniert hätte.

Danke nochmal für deine Mühen.

Gruß SH
Antworten |