Wir beschreiben und beheben die häufigsten Fehler, die bei der Verwendung des ClamAV-Antivirus (clamscan, clamdscan und freshclam) auftreten.
Die Kompilierungsfehler von ClamAV aus den Quellcodes werden hier nicht behandelt.

clamdscan "Can't open file or directory ERROR"

Beim Scannen von Dateien oder Verzeichnissen kann es vorkommen, dass einige von ihnen diesen Fehler verursachen. Die entsprechenden Dateien werden daher nicht gescannt und umgehen die Malware-Prüfung.
Dies kann an den Zugriffsrechten für die Verzeichnisse oder Dateien liegen. Überprüfen Sie daher, ob clamdscan Lese- und Schreibrechte für diese Verzeichnisse und Dateien hat.
Es kann aber auch an AppArmor liegen. Die Lösung besteht darin, clamd im "Complain"-Modus von AppArmor auszuführen. Hier ist die Lösung für Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Um diesen Fehler zu beheben, können Sie eine der folgenden drei Lösungen ausprobieren:

• Setzen Sie die Zugriffsrechte der gescannten Dateien und Verzeichnisse auf 666: chmod 666 *
• Verwenden Sie clamdscan mit der Option --fdpass: clamdscan --fdpass
• Verwenden Sie clamdscan mit der Option --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" in den Logs von freshclam

Wenn diese Fehlermeldung erscheint, können die Signaturdatenbanken des Antivirenprogramms nicht heruntergeladen werden.
Diese Meldung betrifft Versionen vor ClamAV 0.102.
Ab Version 0.102 wurde der Netzwerkcode von freshclam grundlegend geändert. Um diesen Fehler zu beheben, ist es daher erforderlich, Ihre Version von ClamAV zu aktualisieren.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" und "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" in den Logs von freshclam

Diese Meldung zeigt an, dass keine Verbindung zu den ClamAV-Servern hergestellt werden kann, um die Signaturdatenbanken des Antivirenprogramms herunterzuladen.

• Entweder hat Ihr Server ein Problem mit der Internetverbindung.
• Oder Sie verwenden einen Proxy (transparent oder nicht). Freshclam bevorzugt eine direkte Verbindung zu den ClamAV-Servern und unterstützt Proxy-Verbindungen nur sehr schlecht, insbesondere wenn der Proxy die Eigenschaften der HTTP(S)-Verbindung verändert, z. B. durch Änderung des User-Agent.
• Oder Sie verwenden eine sehr alte Version des ClamAV-Antivirus, und es ist zwingend erforderlich, diese zu aktualisieren.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" in den Logs von freshclam

Sie können die Signaturdatenbanken des Antivirenprogramms nicht herunterladen.
Es ist möglich, dass die Datei mirrors.dat überlastet ist. Diese Datei dient dazu, fehlerhafte ClamAV-Mirror-Server auf die schwarze Liste zu setzen. Wenn Sie eine Internetverbindung verloren haben, kann es sein, dass freshclam alle Mirrors auf die schwarze Liste gesetzt hat und keine mehr verfügbar sind.
Die Lösung besteht darin, diese Datei zu löschen (z. B. /var/lib/clamav/mirrors.dat für Debian) und freshclam neu zu starten.

Beachten Sie, dass dieses Problem seit Version 0.100 nicht mehr besteht. Wenn Sie also diesen Fehler sehen, ist es wichtig, ClamAV zu aktualisieren.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" in den Logs von freshclam

Sie können die Signaturdatenbanken des Antivirenprogramms nicht aktualisieren, und diese Meldung erscheint.
Es ist möglich, dass die Uhrzeit Ihres Computers nicht korrekt ist. Aktualisieren Sie Datum und Uhrzeit mit NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Es ist möglich, dass Sie zwei verschiedene Versionen von libclamav auf Ihrem System installiert haben. Dies können zwei Versionen sein, die von Ihrem Betriebssystem bereitgestellt werden. In diesem Fall müssen Sie die ältere Version entfernen. Es kann auch eine Mischung aus einer Installation der ClamAV-Quellcodes und einer Version sein, die vom Betriebssystem bereitgestellt wird. Achten Sie stets darauf, dass nur eine Version von libclamav auf Ihrem System installiert ist.

"LibClamAV Error: yyerror()" und "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV unterstützt Antivirensignaturen im YARA-Format. Der verwendete YARA-Interpreter ist jedoch spezifisch und intern für ClamAV. Dieser YARA-Interpreter ist nicht vollständig kompatibel mit dem offiziellen YARA-Interpreter.
Einige YARA-Regeln funktionieren daher nicht vollständig mit ClamAV.
Um dieses Problem zu lösen:

• Entweder schreiben Sie die YARA-Regel, die das Problem verursacht, so um, dass sie mit ClamAV kompatibel ist.
• Oder Sie warten darauf, dass der YARA-Interpreter von ClamAV in Zukunft verbessert wird.

Die Fehler "LibClamAV Error" wie beispielsweise "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" bei der Verwendung von ClamAV

Diese Fehler sind sehr spezifisch und können auf ein Problem beim Scannen von Daten hinweisen, das von ClamAV nicht korrekt verarbeitet wird. Wir empfehlen, diese Informationen den ClamAV-Entwicklungsteams auf dem offiziellen GitHub zu melden.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" und "Can't allocate memory ERROR" bei der Verwendung von ClamAV

Diese Fehlermeldung weist in der Regel auf einen Mangel an RAM-Speicher während eines Scans hin. Daher:

• Entweder haben Sie nicht genügend Speicher. Es wäre sinnvoll, den RAM-Speicher Ihres Servers oder VPS zu erhöhen.
• Oder Sie scannen ein zu großes Objekt. Um dies zu vermeiden, setzen Sie Grenzen für die Größe der gescannten Objekte: --max-filesize oder --max-scansize über die Befehlszeile.
• Oder Sie scannen Systemdateien oder -verzeichnisse, wie zum Beispiel das Verzeichnis /proc unter Linux. Dies ist verboten; machen Sie das nicht.

"Segmentation fault (core dumped)" bei der Verwendung von ClamAV

Diese Fehlermeldung ist wahrscheinlich die schwerwiegendste. Sie zeigt an, dass das Antivirenprogramm abgestürzt ist, und zwar so heftig, dass das Betriebssystem den ClamAV-Prozess beendet hat.

Allerdings ist die Meldung zu allgemein, um eine genaue Ursache zu bestimmen. Mögliche Ursachen sind die Konfiguration Ihres Betriebssystems, die verfügbaren Ressourcen (RAM) oder das Objekt, das Sie mit ClamAV scannen möchten (z. B. zu groß oder Systemdateien wie /proc).

Es ist daher nicht möglich, die genaue Ursache dieses Absturzes zu bestimmen. Die beste Lösung ist, ein Bug-Ticket bei den Entwicklungsteams von ClamAV auf deren offiziellem GitHub zu eröffnen.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Der ClamAV-Dämon wird ausgeführt, aber der TCP-Port 3310 ist nicht geöffnet: Der Befehl "lsof -i|grep clamd" liefert keine Ergebnisse.
Beim Start von clamd erscheint die folgende Fehlermeldung: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Die Lösung besteht darin, das Verzeichnis /etc/systemd/system/clamav-daemon.socket.d/ zu erstellen und die Datei /etc/systemd/system/clamav-daemon.socket.d/extend.conf darin abzulegen:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Anschließend starten Sie Ihren Server neu.

Die End-of-Life (EOL)-Politik des Antivirenprogramms ClamAV

Seit dem 15. Dezember 2024 werden nur noch die Versionen 1.0.x, 1.3.x und 1.4.x des Antivirenprogramms ClamAV unterstützt und gewartet.
Wenn Sie eine ältere Version verwenden, funktioniert ClamAV wahrscheinlich nicht mehr, da die aktuellen Signaturdatenbanken mit diesen alten Versionen nicht mehr kompatibel sind. Entweder verwenden Sie unsere zusätzlichen Signaturen für ClamAV in mindestens der professionellen Version oder Sie aktualisieren Ihr ClamAV-Antivirus dringend. Am besten tun Sie beides!
Für weitere Informationen lesen Sie unseren Artikel über alte Versionen des Antivirenprogramms ClamAV.

Das Antivirenprogramm ClamWin funktioniert nicht mehr

ClamWin ist ein Windows-Port des Antivirenprogramms ClamAV, der jedoch von einem Drittanbieter entwickelt wurde. Daher wird ClamWin nicht von den Teams von Cisco/Sourcefire unterstützt oder entwickelt. Leider wird dieses Windows-Antivirus nicht mehr von seinem Eigentümer weiterentwickelt, und die letzte verfügbare Version ist 0.103.2.1. Wie im vorherigen Abschnitt erwähnt, werden die Versionen 0.103 von ClamAV nicht mehr unterstützt, weshalb ClamAV den Download der Signaturdatenbanken für ClamWin deaktiviert hat. Dies macht es völlig ineffektiv, weshalb die Verwendung von ClamWin in Unternehmen oder Produktionsumgebungen nicht empfohlen wird.

Unsere empfohlene Lösung ist, die offizielle Version von ClamAV für Windows herunterzuladen. Es gibt eine 32-Bit- und eine 64-Bit-Version. Zwar hat diese Version keine grafische Benutzeroberfläche (GUI), aber die Befehlszeile von ClamAV ist nicht kompliziert, und einige einfache BAT-Dateien reichen aus, um den Scan Ihrer Festplatte zu automatisieren.

Es gibt auch einen inoffiziellen Port des Antivirenprogramms ClamAV für Windows, der interessant ist, da er mit sehr alten Windows-Versionen (WinNT und Windows 98!) funktioniert. Aber auch hier handelt es sich um eine Befehlszeilenanwendung, und es gibt keine grafische Benutzeroberfläche.

Fehler 426 mit den Signaturen von SecuriteInfo.com

Wenn Sie bei der Verwendung von freshclam die Fehlermeldung 426 erhalten, um unsere Antivirensignaturen herunterzuladen, haben Sie ein kostenloses Konto und ein veraltetes ClamAV-Antivirus.

Die Lösung besteht darin, entweder Ihre ClamAV-Installation zu aktualisieren oder ein "Professionell"-Abonnement abzuschließen, um unsere Signaturen herunterzuladen. Oder beides zu tun, um die Malware-Erkennung durch Ihre Installation erheblich zu verbessern.

Ich kann securiteinfoold.hdb nicht herunterladen oder erhalte die Fehler 'nonblock_recv: recv timing out (30 secs)' oder 'Download failed (28) ... Message: Timeout was reached'

• Für ClamAV-Versionen älter als 0.102.2: Fügen Sie "ReceiveTimeout 2400" zu Ihrer Datei freshclam.conf hinzu und starten Sie den freshclam-Daemon neu.


• Für ClamAV-Versionen 0.102.2 und neuer: Entfernen Sie "ReceiveTimeout" aus Ihrer Datei freshclam.conf und starten Sie den freshclam-Daemon neu.

Aktualisieren Sie Ihre ClamAV-Version

Wie Sie sehen, lassen sich die meisten Probleme durch ein Update auf die neueste Version von ClamAV lösen. Es gibt mehrere Möglichkeiten, dies zu tun, je nach Ihrer Umgebung.

• Wenn Sie ClamAV aus den Quellcodes neu kompiliert haben, laden Sie einfach die neueste Version der ClamAV-Quellcodes herunter und kompilieren Sie sie in Ihrer Umgebung neu. Achten Sie jedoch auf die Version Ihres Betriebssystems: Wenn Ihr Betriebssystem zu alt ist, kann es sein, dass die neueste Version von ClamAV Kompilierungsfehler verursacht.


• Wenn Sie eine ausführbare Version von ClamAV verwenden, wie beispielsweise ClamAV für Windows, installieren Sie einfach das Paket mit der neuen ausführbaren Version. Das ist die einfachste Lösung!


• Wenn Ihr Betriebssystem das Antivirenprogramm ClamAV bereitgestellt hat, wie es bei den meisten Linux-Umgebungen (Ubuntu, Debian, Red Hat, CentOS usw.) der Fall ist, müssen Sie Ihr Betriebssystem aktualisieren. Wenn dies zu aufwendig ist, empfehlen wir, das ClamAV-Paket aus Ihrem Betriebssystem zu entfernen und ClamAV dann aus den Quellen zu installieren und neu zu kompilieren. Aber wie bereits erwähnt, kann es bei einem zu alten Betriebssystem sein, dass ClamAV nicht neu kompiliert werden kann.

Für weitere Informationen lesen Sie unseren Artikel Welche Risiken gibt es bei der Verwendung einer alten Version des Antivirenprogramms ClamAV?

Support von SecuriteInfo.com

Wenn Sie spezifische Anforderungen in Bezug auf ClamAV haben, wie z. B. einen Wartungsvertrag, Unterstützung bei der Kompilierung oder technologische Überwachung, zögern Sie nicht, uns über unser Kontaktformular zu kontaktieren und uns Ihre Anforderungen zu erläutern. Wir helfen Ihnen gerne dabei, Ihre Antiviren-Sicherheitsanforderungen mit ClamAV zu erfüllen.

Offizieller Support für ClamAV

Wenn Sie weitere Fehlermeldungen haben oder direkten Support von den ClamAV-Entwicklungsteams wünschen, haben Sie zwei Möglichkeiten:

• Entweder melden Sie sich auf der offiziellen Mailingliste an (nur auf Englisch) und stellen dort Ihre Frage per E-Mail. Die Community und einige der ClamAV-Entwickler werden auf dieser Liste antworten.
• Oder Sie eröffnen ein Ticket auf deren offiziellen GitHub. Dafür müssen Sie jedoch Entwickler sein, da Sie viele technische Details zu Ihrem Ticket hinzufügen müssen. Es ist nicht für die Allgemeinheit gedacht.

Wussten Sie schon?

SecuriteInfo.com stellt zusätzliche Antivirensignaturen für das Antivirenprogramm ClamAV zur Verfügung. Dies erhöht die Erkennungsrate von Malware und Spam erheblich.


Hinweis: ClamAV ist eine eingetragene Marke von Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...