Ще опишем и решим най-често срещаните грешки, които се появяват при използването на антивируса ClamAV (clamscan, clamdscan и freshclam).
Грешките при компилиране на ClamAV от източниците му не се разглеждат тук.

clamdscan "Can't open file or directory ERROR"

Когато сканирате файлове или директории, е възможно някои от тях да причинят тази грешка. Съответните файлове не се сканират и не преминават през проверката за наличие на зловреден софтуер.
Това може да се дължи на правата на директориите или файловете, така че трябва да проверите дали clamdscan има права за четене и писане върху тези папки и файлове.
Но това може да се дължи и на AppArmor. Решението е да поставите clamd в режим "complain" на AppArmor. Ето решението за Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

За да поправите тази грешка, можете да изпробвате следните 3 решения:

• Поставете файловете и директориите в права 666: chmod 666 *
• Използвайте clamdscan с опцията --fdpass: clamdscan --fdpass
• Използвайте clamdscan с опцията --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" в логовете на freshclam

Когато се появи това съобщение за грешка, означава, че не можете да изтеглите базите данни с подписи на антивируса.
Това съобщение съответства на версия по-стара от ClamAV 0.102.
От версия 0.102 кодът на мрежовата част на freshclam беше радикално променен. Следователно, за да решите тази грешка, е необходимо да актуализирате вашата версия на ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" и "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" в логовете на freshclam

Това съобщение показва невъзможност за свързване със сървърите на ClamAV за изтегляне на базите данни с подписи на антивируса.

• Може вашият сървър да има проблем с интернет връзката.
• Може да използвате прокси (прозрачно или не). Freshclam предпочита директна връзка със сървърите на ClamAV и не поддържа добре прокси връзки. Особено ако проксито променя HTTP(S) връзките, например като променя User-Agent.
• Може да използвате много стара версия на антивируса ClamAV, и е необходимо да я актуализирате.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" в логовете на freshclam

Не можете да изтеглите базите данни с подписи на антивируса.
Възможно е файлът mirrors.dat да е препълнен. Този файл се използва за черен списък на сървъри на ClamAV, които имат грешки. Ако сте имали интернет прекъсване, може freshclam да е добавил всички огледални сървъри в черния списък и да няма налични.
Решението е да изтриете този файл (например /var/lib/clamav/mirrors.dat за Debian) и да рестартирате freshclam.

Важно е да се отбележи, че от версии 0.100 този проблем не съществува. Така че, ако виждате този тип грешка, важно е да актуализирате ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" в логовете на freshclam

Не можете да актуализирате базите данни с подписи на антивируса и се появява това съобщение.
Възможно е вашият компютър да не е синхронизиран по време. Актуализирайте датата и часа чрез NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Възможно е да имате 2 различни версии на libclamav инсталирани на вашата система. Това може да са 2 версии предоставени от вашата операционна система. Просто изтрийте по-старото. Това може също да е комбинация между инсталация чрез изходния код на ClamAV и версия, предоставена от операционната система. Винаги трябва да се уверите, че имате само една версия на libclamav инсталирана на вашата система.

"LibClamAV Error: yyerror()" и "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV поддържа антивирусни подписи във формат YARA. Но използваният интерпретатор Yara е специфичен и вътрешен за ClamAV. Този интерпретатор не е 100% съвместим с официалния Yara интерпретатор.
Някои YARA правила не работят напълно с ClamAV.
За да решите този проблем:

• Или пренаписвате проблемното YARA правило, за да го направите съвместимо с ClamAV.
• Или се надявате, че в близко бъдеще интерпретаторът Yara на ClamAV ще бъде подобрен.

Грешките "LibClamAV Error", като например "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" при използване на ClamAV.

Тези грешки са много специфични и могат да подскажат проблем със сканирането на данни, които ClamAV не може да управлява правилно. Препоръчваме да подадете информацията на екипите за разработка на ClamAV на официалния Github.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" и "Can't allocate memory ERROR" при използване на ClamAV

Това съобщение за грешка обикновено показва липса на RAM памет по време на сканиране. Така че:

• Или нямате достатъчно памет, може да е добре да увеличите RAM паметта на вашия сървър или VPS.
• Или сканирате обект, който е твърде голям. За да избегнете това, поставете ограничения на размера на сканираните обекти: --max-filesize или --max-scansize в командния ред.
• Или сканирате системни файлове или директории, като например директорията /proc под Linux. Това е забранено, не го правете.

"Segmentation fault (core dumped)" при използване на ClamAV

Това съобщение за грешка вероятно е най-важното от всички. То показва срив на антивируса, който е толкова сериозен, че операционната система е прекратила процеса на ClamAV.

Но съобщението е твърде общо и може да е резултат от различни възможни причини, като например конфигурацията на вашата операционна система, наличните ресурси (RAM) или обектът, който се опитвате да сканирате с ClamAV (твърде голям или системен файл от /proc например).

Не е възможно да се определи точната причина за този срив и най-доброто решение е да отворите тикет за бъг към екипите за разработка на ClamAV на техния официален Github.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Демонът ClamAV е в изпълнение, но TCP порт 3310 не е отворен: командата "lsof -i|grep clamd" не връща нищо.
При стартиране на clamd, следното съобщение за грешка се появява: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Решението е да създадете директорията /etc/systemd/system/clamav-daemon.socket.d/ и да поставите в нея файла /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

След това рестартирайте сървъра си.

Политиката за края на живота (End-Of-Life или EOL) на антивируса ClamAV

От 15 декември 2024 г. само версиите 1.0.x, 1.3.x и 1.4.x на антивируса ClamAV се поддържат и актуализират.
Ако имате по-стара версия, ClamAV вече не трябва да работи, тъй като последните бази данни с подписи не са съвместими с тези стари версии. Така че или използвате нашите допълнителни подписи за ClamAV с професионална версия поне, или незабавно актуализирате вашия антивирус ClamAV. Или и двете, това е още по-добре!
За повече информация, препоръчваме да прочетете нашата статия относно старите версии на антивируса ClamAV.

Антивирусът ClamWin не работи повече

ClamWin е порт на ClamAV за Windows, но разработен от трета страна. Затова ClamWin не се поддържа и не се разработва от екипите на Cisco / Sourcefire. За съжаление, този антивирус за Windows вече не се разработва от неговия собственик и последната налична версия е версия 0.103.2.1. Както беше посочено в предишния параграф, версиите 0.103 вече не се поддържат от ClamAV, така че ClamAV е анулирал свалянето на бази данни с подписи за ClamWin. Това го прави напълно неефективен, така че не се препоръчва да използвате ClamWin за корпоративна употреба или в продукционна среда.

Препоръчваме да изтеглите официалната версия на ClamAV за Windows. Достъпни са 32-битова и 64-битова версия. Разбира се, тази версия няма графичен интерфейс GUI, но командният ред на ClamAV не е много сложен и ще са необходими няколко прости BAT файла за автоматизиране на сканирането на вашия твърд диск.

Съществува също неофициален порт на антивируса ClamAV за Windows, който е интересен, тъй като работи с много стари версии на Windows (WinNT и Windows 98!). Но това все още е команден ред и няма графичен интерфейс.

Грешка 426 с подписите от SecuriteInfo.com

Ако получавате грешка 426 при използване на freshclam за сваляне на нашите антивирусни подписи, това означава, че имате безплатен акаунт и остаряла версия на антивируса ClamAV.

Решението е или да актуализирате вашата инсталация на ClamAV, или да изберете професионален абонамент, за да изтеглите нашите подписи. Или да направите и двете, за да подобрите значително откритията на зловреден софтуер от вашата инсталация.

Не мога да изтегля securiteinfoold.hdb или имам грешки 'nonblock_recv: recv timing out (30 secs)' или 'Download failed (28) ... Message: Timeout was reached'

• За ClamAV по-стар от 0.102.2, добавете "ReceiveTimeout 2400" във вашия файл freshclam.conf и рестартирайте демона freshclam.


• За ClamAV 0.102.2 и по-нови, премахнете ReceiveTimeout от вашия файл freshclam.conf и рестартирайте демона freshclam.

Актуализирайте версията на ClamAV

Както виждате, повечето проблеми се решават с актуализиране на антивируса ClamAV до последната известна версия. Има няколко метода за това, вие решавате кой от тях е най-подходящ за вашето средище.

• Ако сте компилирали ClamAV от изходния код, просто вземете последната версия на изходните файлове на ClamAV и го преподредете в вашата среда. Въпреки това, бъдете внимателни с версията на вашата операционна система: ако използвате твърде стара операционна система, последната версия на ClamAV може да причини грешки при компилацията.


• Ако имате изпълнима версия на ClamAV, например с ClamAV за Windows, просто инсталирайте пакета, съдържащ новата версия на изпълнимия файл. Това е най-лесното решение!


• Ако вашата операционна система е предоставила антивируса ClamAV, както е случаят за повечето Linux среди (Ubuntu, Debian, Red Hat, CentOS и т.н.), тогава е задължително да актуализирате вашата операционна система. Ако тази актуализация е невъзможна, защото е твърде сложна, тогава препоръчваме да премахнете пакета ClamAV от вашата операционна система и да инсталирате и преподредите ClamAV от изходния код. Но както беше посочено по-рано, ако вашата операционна система е твърде стара, ClamAV може да не се компилира правилно.

За повече информация, препоръчваме да прочетете нашата статия Какви рискове има при използването на стара версия на антивируса ClamAV?

Поддръжката на SecuriteInfo.com

Ако имате специфични нужди относно ClamAV, като например договор за поддръжка, помощ при компилация или технологично наблюдение, не се колебайте да се свържете с нас и да ни обясните вашите нужди. Ще се радваме да отговорим на вашите изисквания за антивирусна защита с ClamAV.

Официалната поддръжка на ClamAV

Ако имате други съобщения за грешки или ако искате директна поддръжка от екипите за разработка на ClamAV, имате две възможности:

• Или се регистрирате в официалния мейлинг списък (само на английски) и можете да зададете вашия въпрос по имейл. Общността и някои от разработчиците на ClamAV ще отговорят на този списък.
• Или създавате тикет в техния официален Github. Но за целта трябва да сте разработчик, защото ще трябва да предоставите много технически данни за тикета. Това не е за широката публика.

Знаете ли, че?

SecuriteInfo.com предлага допълнителни антивирусни подписи за ClamAV. Това значително увеличава откритията на зловреден софтуер и спам.


Забележка: ClamAV е търговска марка на Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...