<div dir="ltr"><div><div>Guys, please note that curl only downloads a SecuriteInfo database if the file has been updated.  Checking for database updates will not get your IP banned; however, "downloading" the same databases over and over, even though there have been no updates, will cause your IP to get banned.  Therefore, no need to change the default SecuriteInfo check interval.<br><br></div>Also, I don't feel that ignoring failed database downloads is prudent.  Most admins what to know right away if there is a problem with a download site.  When I get some time I'll take a look at the provided patch to see if any of the suggested changes make sense.<br><br></div>Bill<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 11, 2014 at 10:10 AM, Alessandro Vesely <span dir="ltr"><<a href="mailto:vesely@tana.it" target="_blank">vesely@tana.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu 11/Sep/2014 12:20:11 +0200 Paul Wise wrote:<br>
><br>
> Bill, would it be possible for you to update clamav-unofficial-sigs so<br>
> that only signature downtime of more than one day is reported by the<br>
> cron job? The current setup means that many admins are getting a lot of<br>
> non-actionable cron spam, myself included.<br>
<br>
I'd rather suggest something along the lines of the attached patch<br>
(not tested).  It should get rid of some cron spam.  For reporting, I<br>
think libclamav does issue some warnings if a database is unacceptably<br>
old, not sure that covers all databases though.<br>
<br>
>> shell variable si_url is hardcoded in clamav-unofficial-<br>
>> sigs.sh. Perhaps, making it configurable may encourage<br>
>> donations.  In fact, it is not clear whether that host<br>
>> is managed by Sanesecurity or SecuriteInfo.<br>
<br>
At a closer look, it /is/ clear: Sanesecurity rate SecuriteInfo<br>
databases, but neither produce nor distribute them.  Sorry for the<br>
confusion.<br>
<br>
> You can change the default URL by putting si_url=... here:<br>
><br>
> /etc/clamav-unofficial-sigs.conf.d/sanesecurl.conf<br>
<br>
Hm... that would work if those assignments were done before sourcing<br>
$config_source.<br>
<br>
> I doubt the premium mirrors would resolve this issue though.<br>
<br>
You're right.  Unlike Sanesecurity, SecuriteInfo have no premium<br>
mirror.  Instead, they warn not to download files more than once a day<br>
on pain of ip-ban[1].  Hence, I changed to "24" the default<br>
si_update_hours (it is "4" in the dist clamav-unofficial-sigs.conf).<br>
<br>
Ciao<br>
Ale<br>
<br>
[1]:<br>
<a href="https://www.securiteinfo.com/services/clamav_unofficial_malwares_signatures.shtml" target="_blank">https://www.securiteinfo.com/services/clamav_unofficial_malwares_signatures.shtml</a><br>
</blockquote></div><br></div>