REMNUXのアップデート中にCPU 100%発生

2019年4月6日に、REMNUXのアップデートをすると、CPU100%が続き、終了しないという事象が発生しました。
ここでは、その具体的な事象と解決策を書きます。

環境

VMWare Workstation Pro 14
Remnux(VMWare上で動作)

事象

具体的には、次のコマンドを実行すると発生した。
$ update-remnux full
すると、アップデートが途中から進まなくなり、RemnuxのゲストOSのCPU使用率が100%のままになった。

画面には次のようなログが出力しており、ClamAVのアップデートが終わらない状態になった。
仕方ないのでctrl+cで中断したところ、次のアップデートに進み、update-remnuxコマンド自体はすんなり終わった。

* INFO: Installing APT Package: flare-fakenet-ng
* INFO: Updating ClamAV Signatures
^C
* INFO: Removing Unnecessary APT Package: netcat-traditional
* INFO: Removing Unnecessary APT Package: cups-client

調査

ClamAVのログ(/var/log/clamav/freshclam.log)を見ると、次のようになっていた。

:中略
Sun Apr 7 14:34:59 2019 -> --------------------------------------
Sun Apr 7 14:34:59 2019 -> ClamAV update process started at Sun Apr 7 14:34:59 2019
Sun Apr 7 14:34:59 2019 -> WARNING: Your ClamAV installation is OUTDATED!
Sun Apr 7 14:34:59 2019 -> WARNING: Local version: 0.100.2 Recommended version: 0.101.2
Sun Apr 7 14:34:59 2019 -> DON'T PANIC! Read https://www.clamav.net/documents/upgrading-clamav

このログを見て、ClamAVが古いことが原因かもしれないと考えた。
このURLを見ろと書いているので見てみると、最新は0.101.0であった。
そのため、いったんremnuxからclamavをアンインストールしインストールしなおしてみた。
しかし、やはり同じ0.100.2がインストールされ、CPU100%の事象は変わらなかった。
もう少し調べていると、Ubuntuの掲示板で類似事象が発生し、ClamAVの再インストールで改善した、という書き込みがあった。
しかし、自分の場合はそれでは直らなかった。
ただ、/var/lib/clamav/daily.cld が関係している、というような書き込みもあった。
daily.cldは、ClamAVのデータベース、つまりウイルスの定義ファイルのようなものらしい。これを管理しているのはFreshClamというパッケージらしい。
そのため、このFreshClamをなんとかすればいいのでは?と考えた。

解決方法

FreshClamをインストールしなおすことで、再発しなくなった。
FreshClamの再インストールの手順はこちら。

$ sudo apt remove clamav-freshclam
$ sudo apt install clamav-freshclam

これで、再度update-remnuxコマンドを実行しても、すんなりアップデートできた。

おそらく、/var/lib/clamav/daily.cld というファイルをアップデートするためにdaily-25380.cdiffをダウンロードするのだが、なんらかの原因でこのファイルの反映に問題が発生したのだろう。
FreshClamをアンインストールし、いったんClamAVのデイリーデータベースファイル(daily.cld)がクリアされ、最初からダウンロードすることで問題が解消されたのだろう、と推測する。

ただ、現在使用中の0.100.2がサポート切れ(outdated)になっていることは変わりない。
remnuxがアップデート知れくれれば、次のタイミングでアップデートできるが、しばらく様子を見てアップデートされないようであれば、ClamAVのサイトを見ながらソースコードからコンパイルして自分でアップデートする必要がある。

タグ

remnux CPU トラブル トラブルシューティング Linux clamav freshclam

ShodanでメンバーシップのBlack Fridayセールをやっている 通常$49のところが$5という格安になっています。
セールは月曜日(つまり2018年11月26日)までと書かれていますが、時差があるため日本の正確な終了時間はわかりません。
セールのtweetはこれです。 https://twitter.com/shodanhq/status/1064956985089638405

The $5 Black Friday sale is returning and available from Friday through Monday

これまでもShodanを使っていましたが、何が違うのか少し調べたので書き残します。
メンバーになって直後に出力された説明を参考に書いていますが、しばらくするとその文章が見られなくなってしまったので、エビデンスが弱い気もします。
フリーアカウントでログインして、https://shodan.io/store/memberにアクセスすると、メンバーのメリットが見られます。

Shodanのメンバーシップのメリット

()内は、実際に自分が使ってみた印象です。

• メンバになると無償アカウントよりも多くのクロール結果を得られる。例えばtelnet、HTTPS。
• ユーザが作成したスクリプトやツールを使って、数億のデバイスから得た情報にアクセスできる。メンバになると制限やフィルタが解除される。
• Developer API プランは100クエリ/月を含む。詳細は「Shodan API Developer Documentation」を読んで。
• Shodan Mapを使えます。 (Google Earthのマップに検索結果がピンで印がついて表示される感じです)
• 改善されたAPIプランはMetasploit、Recon-ng、Maltegoのプラグインをよりパワフルにします。
• $5を一回払うだけ! 上で書いた機能をずっと使えます。
• Picture perfectにより、Shodanが取得したX11、RDP、Webカメラ等のスクリーンショットを検索することができます。

まとめ

Ubuntu 18.04LTSで# apt updateすると時刻関係のエラーが出て途中から進まなくなった。
timezoneとntpを設定することでエラーが消え、正しく動作するようになった。 2018/10/14事象発生→同日解決

環境

VMWare Workstation 14 Pro
Ubuntu 18.04LTS (VMWare上のVM上で動作)
MISP 2.4.96 (今回の事象とは関係ないけど、MISPが配布しているVMイメージを利用したので書いておく)

エラーメッセージ

OSをアップデートするために# apt updateを実行すると、次のエラーが出た。
「Release fileが6時間56分ずれており、無効である」のような意味。システム時刻が問題のようである。

root@misp:/var/www/MISP# apt update
Hit:1 http://us.archive.ubuntu.com/ubuntu bionic InRelease
Get:2 http://security.ubuntu.com/ubuntu bionic-security InRelease [83.2 kB]
Get:3 http://us.archive.ubuntu.com/ubuntu bionic-updates InRelease [88.7 kB]
Get:4 http://us.archive.ubuntu.com/ubuntu bionic-backports InRelease [74.6 kB]
Reading package lists... Done      
E: Release file for http://security.ubuntu.com/ubuntu/dists/bionic-security/InRelease is not valid yet (invalid for another 6h 56min 10s). Updates for this repository will not be applied.
E: Release file for http://us.archive.ubuntu.com/ubuntu/dists/bionic-updates/InRelease is not valid yet (invalid for another 6h 56min 22s). Updates for this repository will not be applied.
E: Release file for http://us.archive.ubuntu.com/ubuntu/dists/bionic-backports/InRelease is not valid yet (invalid for another 6h 56min 48s). Updates for this repository will not be applied.

調べた結果

このエラーメッセージ(E:で始まる行)でググると、そのPCの時刻を正しく合わせろ、のようなことが書かれていた。
$ dateで確認すると、確かに7時間近く遅れている。
timezoneもCEST(ヨーロッパ)時間になっている。
# apt updateで取得する情報が正しくないと、正しくupdateできないので文句を言うのは納得がいく。
ということで、timezoneとntpを正しく設定することにする。

timezoneの設定

まず timedatectl コマンドを使ってtimezoneを「Asia/Tokyo」(JST)に設定する。

# timezone一覧の確認
root@misp:/var/www/MISP# timedatectl list-timezones 
Africa/Abidjan
Africa/Accra
Africa/Addis_Ababa
:中略

# timezoneをAsia/Tokyoに設定する
root@misp:/var/www/MISP# timedatectl set-timezone Asia/Tokyo 

# 設定結果の確認。ちゃんとJSTになっている。
# が、まだ時刻が不正確(この時のリアル時刻は2018-10-14 6:20ころだった)
root@misp:/var/www/MISP# timedatectl
                      Local time: Sat 2018-10-13 22:12:06 JST
                  Universal time: Sat 2018-10-13 13:12:06 UTC
                        RTC time: Sat 2018-10-13 13:12:07
                       Time zone: Asia/Tokyo (JST, +0900)
       System clock synchronized: yes
systemd-timesyncd.service active: yes
                 RTC in local TZ: no

ntpサーバの設定

/etc/ntp.conf ファイルを編集し、ntpサーバを設定する。

# /etc/ntp.conf ファイルを編集する。念のため修正の前にバックアップを取った方がよい。
root@misp:/var/www/MISP# vi /etc/ntp.conf

# 編集部分のみ抜粋する。行頭の数字は行番号。
# 21～24、27行目のubuntuのntpサーバをコメントアウトする。
# 28～30行目のntpサーバを追加。(他のサーバを追加してもOK)
# 54行目の時刻同期を許可する設定を追加
-- /etc/ntp.conf抜粋 --
18 # Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board
19 # on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for
20 # more information.
21 #pool 0.ubuntu.pool.ntp.org iburst
22 #pool 1.ubuntu.pool.ntp.org iburst
23 #pool 2.ubuntu.pool.ntp.org iburst
24 #pool 3.ubuntu.pool.ntp.org iburst
25 #
26 # Use Ubuntu's ntp server as a fallback.
27 #pool ntp.ubuntu.com
28 server ntp.nict.jp iburst
29 server ntp1.jst.mfeed.ad.jp iburst
30 server ntp2.jst.mfeed.ad.jp iburst
:中略
51 # Clients from this (example!) subnet have unlimited access, but only if
52 # cryptographically authenticated.
53 #restrict 192.168.123.0 mask 255.255.255.0 notrust
54 restrict 10.0.0.0 mask 255.255.255.0 nomodify notrap
-- /etc/ntp.conf抜粋 --

# ntpサービスを再起動する
root@misp:/var/www/MISP# systemctl restart ntp

# 現在の時刻を確認。まだずれている。
root@misp:/var/www/MISP# date
Sat Oct 13 22:18:13 JST 2018

# 時刻同期を実行する。
root@misp:/var/www/MISP# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 ntp-a2.nict.go. .NICT.           1 u    1   64    1    6.551   -1.620   0.000
 ntp1.jst.mfeed. 133.243.236.17   2 u    1   64    1    4.785   -0.250   0.000
 ntp2.jst.mfeed. .STEP.          16 u  581   64    0    0.000    0.000   0.000

# 現在時刻を確認する。正しくなった。
root@misp:/var/www/MISP# date
Sun Oct 14 06:30:02 JST 2018

# apt updateも正しく動作するようになった。
root@misp:/var/www/MISP# apt update
Hit:2 http://us.archive.ubuntu.com/ubuntu bionic InRelease
Get:1 http://security.ubuntu.com/ubuntu bionic-security InRelease [83.2 kB]
Get:3 http://us.archive.ubuntu.com/ubuntu bionic-updates InRelease [88.7 kB]
Get:4 http://us.archive.ubuntu.com/ubuntu bionic-backports InRelease [74.6 kB]
Get:5 http://us.archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [401 kB]
Get:6 http://us.archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [362 kB]
Get:7 http://us.archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [555 kB]
Get:8 http://us.archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [560 kB]     
Fetched 2,124 kB in 11s (202 kB/s)                                                            
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.

参考

/etc/ntp.confの設定方法や、サービスの再起動等は次のサイトを参考にさせていただきました。
このサイトには、Ubuntu以外のOSや、サーバ用途に関する多くの設定方法がわかりやすく書かれています。
server world https://www.server-world.info/query?os=Ubuntu_18.04&p=ntp&f=1