Opisat ćemo i riješiti najčešće greške koje se pojavljuju prilikom korištenja ClamAV antivirusa (clamscan, clamdscan i freshclam).
Greške pri kompilaciji ClamAV-a iz izvornog koda nisu obuhvaćene ovdje.

clamdscan "Can't open file or directory ERROR"

Kada skenirate datoteke ili direktorije, moguće je da neki od njih izazivaju ovu grešku. Odgovarajuće datoteke neće biti skenirane i bit će preskočena provjera prisutnosti malicioznih programa.
Ovo može biti uzrokovano pravima na direktorijima ili datotekama, pa morate provjeriti da li clamdscan ima odgovarajuća prava za čitanje i pisanje na tim direktorijima i datotekama.
Također, ovo može biti uzrokovano apparmou. Rješenje je postaviti clamd u "complain" način apparmou. Evo rješenja za Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Za ispravljanje ove greške, možete isprobati sljedeća 3 rješenja:

• Postavite datoteke i direktorije koji se skeniraju na prava 666: chmod 666 *
• Koristite clamdscan s opcijom --fdpass: clamdscan --fdpass
• Koristite clamdscan s opcijom --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" u freshclam logovima

Kada se pojavi ova poruka o grešci, to znači da ne možete preuzeti baze podataka sa potpisima za antivirus.
Ova poruka odgovara verziji starijoj od ClamAV 0.102.
Od verzije 0.102, mrežni kod freshclama je radikalno promijenjen. Stoga, za rješenje ove greške, potrebno je ažurirati vašu verziju ClamAV-a.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" i "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" u freshclam logovima

Ova poruka označava nemogućnost povezivanja na ClamAV servere za preuzimanje baza podataka sa potpisima za antivirus.

• Možda vaš server ima problem sa internet vezom.
• Možda koristite proxy (transparentni ili ne). Freshclam preferira direktnu vezu sa ClamAV serverima i loše podržava veze putem proxy-a. Posebno ako proxy mijenja HTTP(S) svojstva veze, na primjer, mijenjajući User-Agent.
• Možda koristite vrlo staru verziju ClamAV antivirusa, i nužno je potrebno da je ažurirate.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" u freshclam logovima

Ne možete preuzeti baze podataka sa potpisima za antivirus.
Moguće je da je datoteka mirrors.dat zasićena. Ova datoteka služi za crnu listu ClamAV mirror servera koji su u grešci. Ako je došlo do prekida internet veze, moguće je da je freshclam stavio sve mirror servere na crnu listu, a nijedan više nije dostupan.
Rješenje je da izbrišete ovu datoteku (na primjer /var/lib/clamav/mirrors.dat za Debian) i ponovo pokrenete freshclam.

Napomena: Od verzije 0.100 ovaj problem više ne postoji. Dakle, ako vidite ovu vrstu greške, važno je da ažurirate ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" u freshclam logovima

Ne možete ažurirati baze podataka sa potpisima za antivirus i pojavljuje se ova poruka.
Moguće je da vaš računar nije sinhroniziran sa tačnim vremenom. Ažurirajte datum i vreme putem NTP-a.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Moguće je da imate dvije različite verzije libclamav instalirane na vašem sistemu. To mogu biti dvije verzije koje je obezbijedio vaš operativni sistem. U tom slučaju, samo uklonite stariju verziju. Također, to može biti kombinacija između instalacije iz ClamAV izvornog koda i verzije koju pruža operativni sistem. Uvijek se mora paziti da na sistemu bude instalirana samo jedna verzija libclamav.

"LibClamAV Error: yyerror()" i "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV podržava antivirusne potpise u YARA formatu. Međutim, korišćeni Yara interpretator je specifičan i unutrašnji za ClamAV. Ovaj Yara interpretator nije 100% kompatibilan sa zvaničnim Yara interpretatorom.
Zbog toga neke YARA pravila neće u potpunosti raditi sa ClamAV.
Za rješenje ovog problema:

• Možete prepraviti YARA pravilo koje pravi problem kako bi bilo kompatibilno sa ClamAV.
• Možete se nadati da će u skoroj budućnosti Yara motor ClamAV-a biti unaprijeđen.

Greške "LibClamAV Error" kao što je "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" prilikom korištenja ClamAV-a.

Ove greške su vrlo specifične i mogu ukazivati na problem sa skeniranjem podataka koje ClamAV loše obrađuje. Preporučujemo da ove informacije prenesete ClamAV razvojnom timu na službeni Github.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" i "Can't allocate memory ERROR" prilikom korištenja ClamAV-a

Ova poruka o grešci obično označava nedostatak RAM memorije prilikom skeniranja. Dakle:

• Možda nemate dovoljno memorije, bilo bi dobro da povećate RAM memoriju na vašem serveru ili VPS-u.
• Možda skenirate preveliki objekat. Da biste to izbjegli, postavite ograničenja za veličinu skeniranih objekata: --max-filesize ili --max-scansize u komandnoj liniji
• Možda skenirate sistemske datoteke ili direktorije, kao što je direktorij /proc na Linuxu. Ovo je zabranjeno, nemojte to raditi.

"Segmentation fault (core dumped)" prilikom korištenja ClamAV-a

Ova poruka o grešci je vjerovatno najvažnija od svih. Ona označava pad antivirusa koji je toliko ozbiljan da je operativni sistem prekinuo ClamAV proces.

Međutim, poruka je previše opća i može biti rezultat mnogih mogućih uzroka, kao što su konfiguracija vašeg operativnog sistema, dostupni resursi (RAM) ili objekat koji pokušavate skenirati sa ClamAV-om (prevelik, ili sistemska datoteka kao /proc na primjer).

Stoga nije moguće tačno odrediti uzrok ovog pada, a najbolje rješenje je otvoriti prijavu greške za ClamAV razvojni tim na njihovom službenom Githubu.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV demon je u radu, ali TCP port 3310 nije otvoren: komanda "lsof -i|grep clamd" ne vraća ništa.
Pri pokretanju clamd-a, pojavljuje se sljedeća greška: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Rješenje je da kreirate direktorijum /etc/systemd/system/clamav-daemon.socket.d/ i u njega stavite datoteku /etc/systemd/system/clamav-daemon.socket.d/extend.conf :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Zatim ponovo pokrenite vaš server.

Politika kraja života (End-Of-Life ili EOL) za antivirus ClamAV

Od 15. decembra 2024, samo verzije 1.0.x, 1.3.x i 1.4.x antivirusa ClamAV su podržane i održavane.
Ako imate stariju verziju, ClamAV više ne bi trebao da funkcioniše jer nove baze podataka sa potpisima nisu kompatibilne sa tim starim verzijama. Dakle, ili koristite naše dodatne potpise za ClamAV, minimalno u profesionalnoj verziji, ili hitno ažurirate svoj antivirus ClamAV. Ili oboje, to je još bolje!
Za više informacija, preporučujem da pročitate naš članak o starim verzijama antivirusa ClamAV.

Antivirus ClamWin više ne funkcioniše

ClamWin je Windows port antivirusa ClamAV, ali ga je razvio treći entitet. Dakle, ClamWin nije podržan niti razvijan od strane Cisco / Sourcefire timova. Nažalost, ovaj antivirus za Windows više nije razvijan od strane svog vlasnika, a poslednja dostupna verzija je 0.103.2.1. Kao što je pomenuto u prethodnom paragrafu, verzije 0.103 više nisu podržane od strane ClamAV, tako da je ClamAV onemogućio preuzimanje baza podataka sa potpisima za ClamWin. To ga čini potpuno neefikasnim, pa se ne preporučuje korišćenje ClamWin-a u poslovnim ili produkcijskim okruženjima.

Rešenje koje preporučujemo je da preuzmete zvaničnu verziju ClamAV-a za Windows. Dostupne su 32-bitna i 64-bitna verzija. Iako ova verzija nema grafički interfejs (GUI), komandna linija ClamAV-a nije previše komplikovana, a nekoliko jednostavnih BAT datoteka biće potrebne za automatizaciju skeniranja vašeg tvrdog diska.

Takođe postoji neoficijelni port antivirusa ClamAV za Windows, koji je zanimljiv jer radi sa vrlo starim verzijama Windowsa (WinNT i Windows 98!). Ali to je još uvek komandna linija, bez grafičkog interfejsa.

Greška 426 sa potpisima SecuriteInfo.com

Ako dobijate grešku 426 prilikom korišćenja freshclam-a za preuzimanje naših antivirusnih potpisa, to znači da imate besplatan nalog i zastarelu verziju antivirusa ClamAV.

Rešenje je ili da ažurirate svoju instalaciju ClamAV-a, ili da izaberete "Profesionalnu" pretplatu za preuzimanje naših potpisa. Ili oboje, to bi značajno poboljšalo detekciju malvera vašom instalacijom.

Ne mogu da preuzmem securiteinfoold.hdb, ili imam greške 'nonblock_recv: recv timing out (30 secs)' ili 'Download failed (28) ... Message: Timeout was reached'

• Za ClamAV stariji od 0.102.2, dodajte "ReceiveTimeout 2400" u vaš freshclam.conf fajl i ponovo pokrenite freshclam demon.


• Za ClamAV 0.102.2 i novije verzije, uklonite ReceiveTimeout iz vašeg freshclam.conf fajla i ponovo pokrenite freshclam demon.

Ažurirajte vašu verziju ClamAV-a

Kao što vidite, većina problema se rešava ažuriranjem antivirusa ClamAV na poslednju poznatu verziju. Postoji nekoliko metoda za to, na vama je da odaberete onu koja odgovara vašem okruženju.

• Ako ste rekonfigurisali ClamAV iz njegovih izvora, samo uzmite poslednju verziju ClamAV izvora i ponovo ga kompajlirajte u vašem okruženju. Međutim, obratite pažnju na verziju vašeg operativnog sistema: ako koristite previše staru verziju operativnog sistema, moguće je da će poslednja verzija ClamAV izazvati greške prilikom kompilacije.


• Ako imate izvršnu verziju ClamAV-a, kao na primer sa ClamAV Windows, jednostavno instalirajte paket koji sadrži novu verziju izvršne datoteke. Ovo je najjednostavnije rešenje!


• Ako vam je operativni sistem obezbedio ClamAV antivirus, kao što je slučaj sa većinom Linux okruženja (Ubuntu, Debian, Red Hat, CentOS...), tada je obavezno da ažurirate vaš operativni sistem. Ako je ovaj update nemoguć zbog restrikcija, savetujemo da uklonite ClamAV paket sa vašeg operativnog sistema i instalirate, a zatim ponovo kompajlirate ClamAV iz izvora. Ali, kao što je pomenuto ranije, ako je vaš operativni sistem previše star, ClamAV se možda neće moći rekonfigurisati.

Za više informacija, preporučujemo da pročitate naš članak Šta rizikujete korišćenjem stare verzije antivirusa ClamAV?

Podrška SecuriteInfo.com

Ako imate specifične potrebe u vezi sa ClamAV, kao što su ugovori o održavanju, podrška za kompilaciju ili tehnološki nadzor, slobodno kontaktirajte nas i objasnite vaše potrebe. Biće nam drago da odgovorimo na vaše potrebe za antivirusnom zaštitom sa ClamAV.

Zvanična podrška ClamAV-a

Ako imate druge poruke o greškama, ili želite direktnu podršku od ClamAV razvojnog tima, imate dve opcije:

• Možete se prijaviti na zvaničnu mailing listu (samo na engleskom jeziku) i zatim postaviti svoje pitanje putem emaila. Zajednica i neki od ClamAV programera će vam odgovoriti na ovoj listi.
• Možete otvoriti tiket na njihovom zvaničnom Github-u. Ali, za ovo morate biti programer jer ćete morati pružiti mnogo tehničkih informacija u svom tiketu. Ovo nije za široku javnost.

Jeste li znali?

SecuriteInfo.com pruža dodatne antivirusne potpise za ClamAV. To značajno poboljšava detekciju malvera i spama.


Napomena: ClamAV je registrovani zaštitni znak Cisco-a

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...