Popíšeme a vyřešíme nejčastější chyby, které se objevují při používání antiviru ClamAV (clamscan, clamdscan a freshclam).
Chyby při kompilaci ClamAV ze zdrojových kódů zde nejsou zahrnuty.

clamdscan "Can't open file or directory ERROR"

Při skenování souborů nebo adresářů je možné, že některé z nich vyvolají tuto chybu. Tyto soubory tedy nebudou naskenovány a obejdou kontrolu přítomnosti malwaru.
Tento problém může být způsoben právy k adresářům nebo souborům, proto je třeba ověřit, zda má clamdscan práva ke čtení a zápisu v těchto složkách a souborech.
Dále to může být způsobeno AppArmorem. Řešením je nastavit clamd v AppArmor do režimu „complain“. Řešení pro Debian je následující:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Pro opravu této chyby můžete vyzkoušet následující tři řešení:

• Nastavit práva souborů a adresářů na 666: chmod 666 *
• Použít clamdscan s volbou --fdpass: clamdscan --fdpass
• Použít clamdscan s volbou --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" v logu freshclam

Tato chybová zpráva znamená, že se vám nedaří stáhnout databáze podpisů antiviru.
Tato zpráva se vztahuje k verzi starší než ClamAV 0.102.
Od verze 0.102 byl kód síťové části freshclam radikálně změněn. Proto je pro vyřešení této chyby nutné aktualizovat vaši verzi ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" a "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" v logu freshclam

Tato zpráva indikuje nemožnost připojení k serverům ClamAV pro stažení databází podpisů antiviru.

• Buď má váš server problém s připojením k internetu.
• Nebo používáte proxy server (transparentní nebo ne). Freshclam preferuje přímé připojení k serverům ClamAV a velmi špatně podporuje připojení přes Proxy. Zvláště pokud Proxy mění vlastnosti HTTP(S) připojení, například změnou User-Agent.
• Nebo používáte velmi starou verzi antiviru ClamAV, kterou je nutné aktualizovat.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" v logu freshclam

Nedaří se vám stáhnout databáze podpisů antiviru.
Je možné, že soubor mirrors.dat je přetížený. Tento soubor slouží k blokování chybových mirror serverů ClamAV. Pokud došlo k odpojení od internetu, je možné, že freshclam zablokoval všechny mirrory a žádný už není k dispozici.
Řešením je smazat tento soubor (například /var/lib/clamav/mirrors.dat pro Debian) a restartovat freshclam.

Upozorňujeme, že od verzí 0.100 tento problém neexistuje. Pokud tedy vidíte tento typ chyby, je důležité aktualizovat ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" v logu freshclam

Nemůžete aktualizovat databáze podpisů antiviru a zobrazí se tato zpráva.
Je možné, že váš počítač nemá správně nastavený čas. Aktualizujte datum a čas pomocí NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Je možné, že máte ve svém systému nainstalované dvě různé verze libclamav. Může se jednat o dvě verze poskytované vaším operačním systémem. Stačí tedy odstranit tu starší. Může se také jednat o kombinaci instalace ze zdrojových kódů ClamAV a verze poskytované operačním systémem. Je důležité mít v systému vždy jen jednu verzi libclamav.

"LibClamAV Error: yyerror()" a "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV podporuje antivirové signatury ve formátu YARA. Použitý YARA engine je však specifický a interní pro ClamAV. Tento engine není 100% kompatibilní s oficiálním interpretrem YARA.
Některá pravidla YARA tedy s ClamAV nefungují zcela správně.
Pro vyřešení tohoto problému:

• Buď přepište pravidlo YARA, které způsobuje problém, aby bylo kompatibilní s ClamAV.
• Nebo doufejte, že v blízké budoucnosti bude YARA engine ClamAV vylepšen.

Chyby "LibClamAV Error" jako například "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" při použití ClamAV

Tyto chyby jsou velmi specifické a mohou poukazovat na problém se skenováním dat, která ClamAV špatně zpracovává. Doporučujeme tedy informovat vývojářský tým ClamAV na oficiálním Githubu.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" a "Can't allocate memory ERROR" při použití ClamAV

Tato chybová zpráva obvykle naznačuje nedostatek RAM při skenování. Proto:

• Buď nemáte dostatek paměti RAM, bylo by vhodné zvýšit RAM na vašem serveru nebo VPS.
• Nebo skenujete příliš velký objekt. Abyste tomu předešli, nastavte limity na velikost skenovaných objektů: --max-filesize nebo --max-scansize v příkazovém řádku.
• Nebo skenujete systémové soubory nebo adresáře, například adresář /proc na Linuxu. Toto je zakázané, nedělejte to.

"Segmentation fault (core dumped)" při použití ClamAV

Tato chybová zpráva je pravděpodobně nejzávažnější ze všech. Indikuje havárii antiviru, která je tak vážná, že operační systém ukončil proces ClamAV.

Tato zpráva je však příliš obecná a je důsledkem mnoha možných příčin, jako je například konfigurace operačního systému, dostupné zdroje (RAM) nebo objekt, který se pokoušíte skenovat pomocí ClamAV (příliš velký nebo systémový soubor z /proc).

Nelze tedy přesně určit příčinu této havárie a nejlepší řešení je nahlásit chybu vývojářskému týmu ClamAV na jejich oficiálním Githubu.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Démon ClamAV běží, ale port TCP 3310 není otevřen: příkaz "lsof -i|grep clamd" nevrací žádný výsledek.
Při spuštění clamd se zobrazí následující chybová zpráva: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Řešením je vytvořit adresář /etc/systemd/system/clamav-daemon.socket.d/ a umístit do něj soubor /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Poté restartujte váš server.

Politika konce životnosti (End-Of-Life nebo EOL) antiviru ClamAV

Od 15. prosince 2024 jsou podporovány a udržovány pouze verze 1.0.x, 1.3.x a 1.4.x antiviru ClamAV.
Pokud máte starší verzi, ClamAV už nemusí fungovat, protože nové databáze podpisů již nejsou kompatibilní s těmito staršími verzemi. Buď použijete naše doplňkové podpisy pro ClamAV, alespoň v profesionální verzi, nebo aktualizujete svůj antivir ClamAV. Nejlepší je obojí!
Pro více informací doporučujeme přečíst si náš článek o starých verzích antiviru ClamAV.

Antivirus ClamWin už nefunguje

ClamWin je port Windows verze antiviru ClamAV, ale vytvořený třetí stranou. ClamWin tedy není podporován ani vyvíjen týmy Cisco / Sourcefire. Bohužel tento antivirus pro Windows již není vyvíjen jeho vlastníkem a poslední dostupná verze je 0.103.2.1. Jak bylo zmíněno v předchozím odstavci, verze 0.103 již nejsou podporovány ClamAV, a proto ClamAV zneplatnil stahování databází podpisů pro ClamWin. To ho činí zcela neúčinným, a proto se nedoporučuje používat ClamWin pro podnikové nebo produkční prostředí.

Doporučené řešení je stáhnout oficiální verzi ClamAV pro Windows. K dispozici jsou verze pro 32bit a 64bit systémy. Ano, tato verze nemá grafické uživatelské rozhraní (GUI), ale příkazová řádka ClamAV není příliš složitá a pár jednoduchých souborů BAT bude potřeba k automatizaci skenování vašeho pevného disku.

Existuje také neoficiální port antiviru ClamAV pro Windows, který je zajímavý, protože funguje i na velmi starých verzích Windows (WinNT a Windows 98!). Ale opět, jedná se o příkazovou řádku, a není k dispozici žádné grafické rozhraní.

Chyba 426 při používání podpisů SecuriteInfo.com

Pokud při používání freshclam pro stahování našich antivirových podpisů obdržíte chybu 426, znamená to, že máte zdarma účet a zastaralý antivir ClamAV.

Řešení spočívá buď v aktualizaci vaší instalace ClamAV, nebo ve výběru "Profesionálního" předplatného pro stahování našich podpisů. Můžete udělat obojí pro výrazné zlepšení detekce malwaru vaší instalace.

Nemohu stáhnout securiteinfoold.hdb, nebo mám chyby 'nonblock_recv: recv timing out (30 secs)' nebo 'Download failed (28) ... Message: Timeout was reached'

• Pro ClamAV starší než 0.102.2, přidejte "ReceiveTimeout 2400" do souboru freshclam.conf a restartujte démon freshclam.


• Pro ClamAV 0.102.2 a novější, odstraňte ReceiveTimeout ze souboru freshclam.conf a restartujte démon freshclam.

Aktualizace vaší verze ClamAV

Jak vidíte, většina problémů se vyřeší aktualizací antiviru ClamAV na poslední známou verzi. Existuje několik metod, jak to udělat, vyberte si tu, která odpovídá vašemu prostředí.

• Pokud jste kompilovali ClamAV ze zdrojových kódů, stačí vzít poslední verzi zdrojových kódů ClamAV a znovu je zkompilovat ve vašem prostředí. Dávejte však pozor na verzi operačního systému: pokud používáte příliš starý operační systém, může se stát, že poslední verze ClamAV způsobí chyby při kompilaci.


• Pokud máte spustitelnou verzi ClamAV, například pro ClamAV Windows, stačí nainstalovat balíček obsahující novou verzi spustitelného souboru. To je nejjednodušší řešení!


• Pokud váš operační systém poskytl antivirus ClamAV, jako je to běžné u většiny linuxových prostředí (Ubuntu, Debian, Red Hat, CentOS...), je nutné aktualizovat operační systém. Pokud je tato aktualizace nemožná kvůli příliš velkým omezením, doporučujeme odstranit balíček ClamAV z operačního systému a nainstalovat a zkompilovat ClamAV ze zdrojů. Jak bylo zmíněno dříve, pokud je váš operační systém příliš starý, ClamAV se nemusí správně zkompilovat.

Pro více informací doporučujeme přečíst náš článek Jaká rizika přináší používání staré verze antiviru ClamAV?

Podpora SecuriteInfo.com

Pokud máte konkrétní potřeby týkající se ClamAV, jako například kontrakt na údržbu, podporu při kompilaci nebo technologické sledování, neváhejte nás kontaktovat a vysvětlit nám vaše požadavky. Rádi vám pomůžeme s antivirovou ochranou ClamAV.

Oficiální podpora ClamAV

Pokud máte jiné chybové zprávy nebo pokud chcete přímou podporu od vývojářských týmů ClamAV, máte dvě možnosti:

• Buď se přihlásíte na oficiální mailing listu (pouze v angličtině), kde můžete následně položit svou otázku e-mailem. Komunita a někteří vývojáři ClamAV vám na tuto otázku odpoví na tomto seznamu.
• Buď vytvoříte tiket na jejich oficiálním Githubu. Ale pro toto musíte být vývojář, protože budete muset poskytnout mnoho technických informací. To není pro širokou veřejnost.

Věděli jste, že?

SecuriteInfo.com nabízí doplňkové antivirové podpisy pro antivirus ClamAV. To výrazně zvyšuje detekci malwaru a spamu.


Poznámka: ClamAV je registrovaná ochranná známka Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...