Vi vil beskrive og løse de mest almindelige fejl, der opstår ved brug af antivirusprogrammet ClamAV (clamscan, clamdscan og freshclam).
Fejl ved kompilering af ClamAV fra kilden bliver ikke behandlet her.

clamdscan "Kan ikke åbne fil eller mappe FEJL"

Når du scanner filer eller mapper, kan det være, at nogle af dem forårsager denne fejl. De relevante filer vil derfor ikke blive scannet, og malware-checket vil blive omgået.
Dette kan skyldes fil- eller mappetilladelser, så du skal sikre dig, at clamdscan har læse- og skriveadgang til disse filer og mapper.
Men det kan også skyldes AppArmor. Løsningen er at sætte clamd i "complain"-tilstand i AppArmor. Her er løsningen for Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. FEJL"

For at rette denne fejl kan du teste de 3 følgende løsninger:

• Indstil filerne og mapperne, der scannes, til rettigheder 666: chmod 666 *
• Brug clamdscan med --fdpass optionen: clamdscan --fdpass
• Brug clamdscan med --stream optionen: clamdscan --stream

"Ignorerer spejl (på grund af tidligere fejl)" i freshclam logs

Når denne fejlmeddelelse vises, betyder det, at du ikke kan downloade antivirusets signaturdatabaser.
Denne meddelelse svarer til en version før ClamAV 0.102.
Fra version 0.102 er koden for netværksdelen af freshclam blevet radikalt ændret. Derfor, for at løse denne fejl, er det nødvendigt at opdatere din version af ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Netværk er utilgængeligt" og "ADVARSEL: getpatch: Kan ikke downloade daily-xxx.cdiff fra db.local.clamav.net" i freshclam logs

Denne meddelelse indikerer, at det ikke er muligt at oprette forbindelse til ClamAV-serverne for at downloade antivirusets signaturdatabaser.

• Enten har din server et forbindelsesproblem til internettet.
• Enten bruger du en proxy (gennemsigtig eller ikke). Freshclam foretrækker en direkte forbindelse til ClamAV-serverne og har problemer med proxy-forbindelser, især hvis proxyen ændrer HTTP(S) forbindelseens egenskaber, f.eks. ved at ændre User-Agent.
• Enten bruger du en meget gammel version af ClamAV, og det er nødvendigt at opdatere den.

"ADVARSEL: Kan ikke læse main.cvd header fra db.local.clamav.net (IP: )" i freshclam logs

Du kan ikke downloade antivirusets signaturdatabaser.
Det er muligt, at filen mirrors.dat er overfyldt. Denne fil bruges til at sortliste ClamAV-spejle, der har problemer. Hvis du har haft en internetforbindelse, kan det være, at freshclam har sortlistet alle spejlene, og der er ingen tilgængelige.
Løsningen er at slette denne fil (f.eks. /var/lib/clamav/mirrors.dat for Debian) og genstarte freshclam.

Bemærk, at dette problem ikke længere eksisterer siden version 0.100. Så hvis du ser denne type fejl, er det vigtigt at opdatere ClamAV

"ADVARSEL: Meddelelse: SSL-peer certifikat eller SSH fjernnøgle var ikke OK" i freshclam logs

Du kan ikke opdatere antivirusets signaturdatabaser, og denne meddelelse vises.
Det er muligt, at din computer ikke er indstillet korrekt på tid og dato. Opdater tid og dato via NTP.

"FEJL: Dette værktøj kræver libclamav med funktionsniveau XXX eller højere (aktuel f-level: XXX)"

Det er muligt, at du har 2 forskellige versioner af libclamav installeret på dit system. Dette kan være 2 versioner leveret af dit operativsystem. Du skal blot fjerne den ældste version. Det kan også være en blanding af en installation fra ClamAV-kildeteksterne og en version leveret af operativsystemet. Sørg altid for, at der kun er én version af libclamav installeret på dit system.

"LibClamAV Error: yyerror()" og "LibClamAV Warning: cli_loadyara: mislykkedes med at analysere eller indlæse 1 yara-regler fra fil"

ClamAV understøtter antivirus-signaturer i YARA-formatet. Men den Yara-tolker, der bruges, er specifik og intern for ClamAV. Denne Yara-tolker er ikke 100 % kompatibel med den officielle Yara-tolker.
Derfor fungerer nogle YARA-regler ikke helt med ClamAV.
For at løse dette problem:

• Enten omskriver du den YARA-regel, der giver problemer, for at gøre den kompatibel med ClamAV.
• Enten håber du, at ClamAV's Yara-motor bliver forbedret i den nærmeste fremtid.

Fejl "LibClamAV Error", såsom "LibClamAV Error: [scan_biff_for_xlm_macros] Uventet tilstandsværdi 4" ved brug af ClamAV.

Disse fejl er meget specifikke og kan indikere et problem med scanningen af data, som ClamAV ikke håndterer korrekt. Vi anbefaler derfor at videregive oplysningerne til udviklingsteamet af ClamAV på den officielle Github.

"LibClamAV Warning: fmap: kortallokering mislykkedes", "LibClamAV Error: CRITICAL: fmap() mislykkedes" og "Kan ikke allokere hukommelse FEJL" ved brug af ClamAV

Denne fejlmeddelelse indikerer generelt mangel på RAM-hukommelse under en scanning. Så:

• Enten har du ikke nok hukommelse, og det vil være en god idé at øge din servers eller VPS' hukommelse.
• Enten scanner du et objekt, der er for stort. For at undgå dette, sæt begrænsninger på størrelsen af de scannede objekter: --max-filesize eller --max-scansize i kommandolinjen.
• Enten scanner du systemfiler eller -mapper, som f.eks. /proc-mappen i Linux. Dette er ikke tilladt, så lad være med at gøre det.

"Segmentation fault (core dumped)" ved brug af ClamAV

Denne fejlmeddelelse er sandsynligvis den vigtigste af dem alle. Den indikerer, at antivirusprogrammet er krasjet så voldsomt, at operativsystemet har afsluttet ClamAV-processen.

Men meddelelsen er for generel, og den kan skyldes mange forskellige årsager, såsom din operativsystems konfiguration, tilgængelige ressourcer (RAM) eller objektet, du forsøger at scanne med ClamAV (for stort eller et systemfil som /proc, f.eks.).

Derfor er det ikke muligt at bestemme den nøjagtige årsag til denne crash, og den bedste løsning er at åbne en fejlrapport til ClamAV's udviklingsteam på deres officielle Github.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket modtaget fra systemd

ClamAV-dæmonen kører, men TCP-port 3310 er ikke åben: kommandoen "lsof -i|grep clamd" returnerer intet.
Ved opstart af clamd vises følgende fejlmeddelelse: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Løsningen er at oprette mappen /etc/systemd/system/clamav-daemon.socket.d/ og derefter placere filen /etc/systemd/system/clamav-daemon.socket.d/extend.conf deri:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Og derefter genstarte din server.

ClamAV antivirus' End-Of-Life politik (EOL)

Fra den 15. december 2024 er kun versionerne 1.0.x, 1.3.x og 1.4.x af ClamAV antivirus understøttet og vedligeholdt.
Hvis du har en ældre version, er ClamAV ikke længere beregnet til at fungere, da de nyeste signaturdatabaser ikke længere er kompatible med disse ældre versioner. Så enten bruger du vores ekstra signaturer til ClamAV, minimum i professionel version, eller du opdaterer straks dit ClamAV antivirus. Eller begge dele, det er endnu bedre!
For at gå et skridt videre, anbefaler jeg, at du læser vores artikel om gamle versioner af ClamAV antivirus.

ClamWin antivirus fungerer ikke længere

ClamWin er en Windows-port af ClamAV antivirus, men lavet af en tredjepart. Derfor er ClamWin ikke understøttet eller udviklet af Cisco / Sourcefire's teams. Desværre bliver dette antivirusprogram til Windows ikke længere udviklet af dets ejer, og den sidste tilgængelige version er version 0.103.2.1. Som nævnt tidligere, er version 0.103 ikke længere understøttet af ClamAV, så ClamAV har deaktiveret download af signaturdatabaserne for ClamWin. Dette gør det totalt ineffektivt, og det anbefales ikke at bruge ClamWin i en virksomhed eller et produktionsmiljø.

Den løsning, vi anbefaler, er at downloade den officielle version af ClamAV til Windows. Der er en 32-bit version og en 64-bit version tilgængelig. Selvom denne version ikke har et grafisk brugergrænseflade (GUI), er ClamAV's kommandolinje ikke særlig vanskelig, og nogle enkle BAT-filer vil være nødvendige for at automatisere scanningen af din harddisk.

Der findes også en uofficiel port af ClamAV antivirus til Windows, som er interessant, da den fungerer med meget gamle Windows-versioner (WinNT og Windows 98!). Men det er stadig kommandolinje, og der er ingen grafisk brugergrænseflade.

Fejl 426 med signaturerne fra SecuriteInfo.com

Hvis du får en fejl 426, når du bruger freshclam til at downloade vores antivirus signaturer, betyder det, at du har en gratis konto og en forældet version af ClamAV antivirus.

Løsningen er enten at opdatere din ClamAV-installation eller vælge et "Professionelt" abonnement for at downloade vores signaturer. Eller du kan gøre begge dele for at forbedre malware-detektionen med din installation.

Jeg kan ikke downloade securiteinfoold.hdb, eller jeg får fejl som 'nonblock_recv: recv timing out (30 sek)' eller 'Download mislykkedes (28) ... Meddelelse: Timeout nået'

• For ClamAV versioner ældre end 0.102.2, tilføj "ReceiveTimeout 2400" til din freshclam.conf-fil og genstart freshclam dæmonen.


• For ClamAV 0.102.2 og nyere, fjern ReceiveTimeout fra din freshclam.conf-fil og genstart freshclam dæmonen.

Opdater din ClamAV version

Som du kan se, kan de fleste problemer løses ved at opdatere ClamAV antivirus til den nyeste kendte version. Der er flere metoder til at gøre dette, og du kan vælge den, der passer til dit miljø.

• Hvis du har recompileret ClamAV fra kildeteksterne, skal du tage den nyeste version af ClamAV's kildefiler og kompilere det i dit miljø. Vær dog opmærksom på din operativsystemversion: Hvis du bruger et meget gammelt operativsystem, kan det være, at den nyeste version af ClamAV vil forårsage kompilationsfejl.


• Hvis du har en eksekverbar version af ClamAV, som for eksempel med ClamAV til Windows, skal du blot installere pakken, der indeholder den nye version af den eksekverbare fil. Dette er den enkleste løsning!


• Hvis dit operativsystem leverede ClamAV antivirus, som det er tilfældet for de fleste Linux-miljøer (Ubuntu, Debian, Red Hat, CentOS...), er det nødvendigt at opdatere dit operativsystem. Hvis denne opdatering er umulig, fordi den er for besværlig, anbefales det at fjerne ClamAV-pakken fra dit operativsystem og derefter installere og recompilere ClamAV fra kilderne. Men som nævnt før, hvis dit operativsystem er for gammelt, kan det være, at ClamAV ikke kan recompiles.

For at gå et skridt videre, anbefaler vi at læse vores artikel Hvad risikerer man ved at bruge en gammel version af ClamAV antivirus?

SecuriteInfo.com support

Hvis du har specifikke behov vedrørende ClamAV, som f.eks. en vedligeholdelsesaftale, support til kompilering eller teknologisk overvågning, er du velkommen til at kontakte os og forklare dine behov. Vi vil være glade for at imødekomme dine antivirusbeskyttelsesbehov med ClamAV.

Officiel ClamAV support

Hvis du har andre fejlmeddelelser, eller hvis du ønsker direkte support fra ClamAV's udviklingsteam, har du to muligheder:

• Enten tilmelder du dig den officielle mailingliste (kun på engelsk), og du kan derefter stille dit spørgsmål via e-mail. Fællesskabet og nogle af ClamAV's udviklere vil svare dig på denne liste.
• Enten opretter du en ticket på deres officielle Github. Men for dette skal du være udvikler, da du skal medbringe mange tekniske oplysninger i din ticket. Det er ikke for den brede offentlighed.

Vidste du det?

SecuriteInfo.com tilbyder ekstra antivirus signaturer til ClamAV. Dette øger signifikant malware og spam-detektionen.


Bemærk: ClamAV er et varemærke registreret af Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...