Θα περιγράψουμε και θα λύσουμε τα πιο κοινά σφάλματα που εμφανίζονται κατά τη χρήση του ClamAV antivirus (clamscan, clamdscan και freshclam).
Τα σφάλματα κατά τη μεταγλώττιση του ClamAV από τις πηγές του δεν αναφέρονται εδώ.

clamdscan "Can't open file or directory ERROR"

Όταν σαρώνονται αρχεία ή καταλόγοι, ενδέχεται κάποια από αυτά να προκαλούν αυτό το σφάλμα. Τα αντίστοιχα αρχεία δεν σαρώνονται, παρακάμπτοντας τον έλεγχο παρουσίας κακόβουλου λογισμικού.
Αυτό μπορεί να προέρχεται από τα δικαιώματα στους καταλόγους ή τα αρχεία, οπότε πρέπει να ελέγξετε ότι το clamdscan έχει τα δικαιώματα ανάγνωσης και εγγραφής σε αυτούς τους φακέλους και αρχεία.
Αλλά αυτό μπορεί επίσης να προέρχεται από το apparmor. Η λύση είναι να βάλετε το clamd στο "complain" mode του apparmor. Η λύση για το Debian είναι η εξής:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Για να διορθώσετε αυτό το σφάλμα, μπορείτε να δοκιμάσετε τις 3 παρακάτω λύσεις :

• Ορίστε τα αρχεία και τους καταλόγους που σαρώνονται με δικαιώματα 666 : chmod 666 *
• Χρησιμοποιήστε το clamdscan με την επιλογή --fdpass : clamdscan --fdpass
• Χρησιμοποιήστε το clamdscan με την επιλογή --stream : clamdscan --stream

"Ignoring mirror (due to previous errors)" στα αρχεία καταγραφής του freshclam

Όταν εμφανιστεί αυτό το μήνυμα σφάλματος, σημαίνει ότι δεν μπορείτε να κατεβάσετε τις βάσεις δεδομένων υπογραφών του antivirus.
Αυτό το μήνυμα αναφέρεται σε μια έκδοση πριν από το ClamAV 0.102.
Από την έκδοση 0.102, ο κώδικας του δικτύου του freshclam έχει αλλάξει δραστικά. Συνεπώς, για να διορθώσετε αυτό το σφάλμα, πρέπει να αναβαθμίσετε την έκδοση του ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" και "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" στα αρχεία καταγραφής του freshclam

Αυτό το μήνυμα υποδεικνύει αδυναμία σύνδεσης στους διακομιστές του ClamAV για τη λήψη των βάσεων δεδομένων υπογραφών του antivirus.

• Ίσως ο διακομιστής σας έχει πρόβλημα σύνδεσης στο Διαδίκτυο.
• Ή χρησιμοποιείτε έναν proxy (διαφανή ή μη). Το freshclam προτιμά άμεση σύνδεση στους διακομιστές του ClamAV και υποστηρίζει πολύ άσχημα τις συνδέσεις μέσω proxy. Ιδιαίτερα αν ο proxy τροποποιεί τις ιδιότητες της σύνδεσης HTTP(S), για παράδειγμα αλλάζοντας το User-Agent.
• Ή χρησιμοποιείτε μια πολύ παλιά έκδοση του antivirus ClamAV, και είναι απαραίτητο να το αναβαθμίσετε.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" στα αρχεία καταγραφής του freshclam

Δεν μπορείτε να κατεβάσετε τις βάσεις δεδομένων υπογραφών του antivirus.
Είναι πιθανό το αρχείο mirrors.dat να έχει γεμίσει. Αυτό το αρχείο χρησιμοποιείται για την προσθήκη σε μαύρη λίστα των διακομιστών mirrors του ClamAV που έχουν σφάλματα. Αν είχατε αποσύνδεση από το Διαδίκτυο, είναι πιθανό το freshclam να έχει προσθέσει σε μαύρη λίστα όλους τους mirrors και να μην υπάρχει κανένας διαθέσιμος.
Η λύση είναι να διαγράψετε αυτό το αρχείο (π.χ. /var/lib/clamav/mirrors.dat για το Debian) και να ξαναξεκινήσετε το freshclam.

Σημειώστε ότι από τις εκδόσεις 0.100 και μετά, αυτό το πρόβλημα δεν υπάρχει πλέον. Άρα, αν δείτε αυτό το είδος σφάλματος, είναι σημαντικό να αναβαθμίσετε το ClamAV.

"WARNING: Μήνυμα: Το SSL peer certificate ή το SSH remote key δεν ήταν εντάξει" στα αρχεία καταγραφής του freshclam

Δεν μπορείτε να ενημερώσετε τις βάσεις δεδομένων υπογραφών του antivirus και εμφανίζεται αυτό το μήνυμα.
Είναι πιθανό ο υπολογιστής σας να μην έχει τη σωστή ώρα. Ενημερώστε την ημερομηνία και την ώρα μέσω NTP.

"ERROR: Αυτό το εργαλείο απαιτεί libclamav με επίπεδο λειτουργικότητας XXX ή υψηλότερο (τρέχον f-level: XXX)"

Είναι πιθανό να έχετε εγκαταστήσει δύο διαφορετικές εκδόσεις του libclamav στο σύστημά σας. Αυτό μπορεί να είναι δύο εκδόσεις που παρέχονται από το λειτουργικό σας σύστημα. Απλώς διαγράψτε την παλαιότερη. Μπορεί επίσης να είναι ένα μείγμα μεταξύ μιας εγκατάστασης από τον πηγαίο κώδικα του ClamAV και μιας έκδοσης που παρέχεται από το λειτουργικό σύστημα. Πρέπει πάντα να προσέχετε να έχετε μόνο μία έκδοση του libclamav εγκατεστημένη στο σύστημά σας.

"LibClamAV Error: yyerror()" και "LibClamAV Warning: cli_loadyara: αποτυχία ανάλυσης ή φόρτωσης 1 yara κανόνων από το αρχείο"

Το ClamAV υποστηρίζει υπογραφές antivirus σε μορφή YARA. Ωστόσο, ο μηχανισμός ερμηνείας Yara που χρησιμοποιείται είναι συγκεκριμένος και εσωτερικός στο ClamAV. Και αυτός ο μηχανισμός Yara δεν είναι 100% συμβατός με τον επίσημο ερμηνευτή Yara.
Ορισμένοι κανόνες YARA δεν λειτουργούν λοιπόν πλήρως με το ClamAV.
Για να λύσετε αυτό το πρόβλημα :

• Ή να ξαναγράψετε τον κανόνα YARA που προκαλεί το πρόβλημα για να τον κάνετε συμβατό με το ClamAV.
• Ή να ελπίζετε ότι στο μέλλον ο μηχανισμός Yara του ClamAV θα βελτιωθεί.

Τα σφάλματα "LibClamAV Error" όπως για παράδειγμα "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" κατά τη χρήση του ClamAV.

Αυτά τα σφάλματα είναι πολύ συγκεκριμένα και μπορεί να υποδεικνύουν ένα πρόβλημα σάρωσης δεδομένων που δεν διαχειρίζεται σωστά το ClamAV. Σας συνιστούμε να αναφέρετε την πληροφορία στις ομάδες ανάπτυξης του ClamAV στο επίσημο Github.

"LibClamAV Warning: fmap: απέτυχε η κατανομή χάρτη", "LibClamAV Error: CRITICAL: fmap() απέτυχε" και "Can't allocate memory ERROR" κατά τη χρήση του ClamAV

Αυτό το μήνυμα σφάλματος υποδεικνύει συνήθως έλλειψη μνήμης RAM κατά τη διάρκεια σάρωσης. Οπότε :

• Ή δεν έχετε αρκετή μνήμη, θα ήταν καλό να αυξήσετε τη μνήμη RAM στον διακομιστή ή VPS σας.
• Ή σαρώσετε ένα αντικείμενο πολύ μεγάλο. Για να το αποφύγετε, θέστε όρια στο μέγεθος των αντικειμένων που σαρώνονται: --max-filesize ή --max-scansize στη γραμμή εντολών.
• Ή σαρώσετε αρχεία ή καταλόγους συστήματος, όπως για παράδειγμα τον κατάλογο /proc στο Linux. Αυτό απαγορεύεται, μην το κάνετε.

"Segmentation fault (core dumped)" κατά τη χρήση του ClamAV

Αυτό το μήνυμα σφάλματος είναι πιθανώς το πιο σημαντικό από όλα. Υποδεικνύει ότι το antivirus κατέρρευσε με έναν τρόπο που ήταν τόσο βίαιος ώστε το λειτουργικό σύστημα διέκοψε τη διαδικασία του ClamAV.

Αλλά το μήνυμα είναι πολύ γενικό και αποτελεί συνέπεια πολλών πιθανών αιτίων, όπως για παράδειγμα η διαμόρφωση του λειτουργικού σας συστήματος, οι διαθέσιμοι πόροι (RAM) ή ακόμα και το αντικείμενο που προσπαθείτε να σαρώσετε με το ClamAV (πολύ μεγάλο ή αρχείο συστήματος από το /proc για παράδειγμα).

Επομένως, δεν είναι δυνατόν να προσδιορίσουμε την ακριβή αιτία αυτής της κατάρρευσης και η καλύτερη λύση είναι να ανοίξετε ένα bug ticket στις ομάδες ανάπτυξης του ClamAV στο επίσημο Github.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Ο δαίμονας ClamAV εκτελείται, αλλά η θύρα TCP 3310 δεν είναι ανοιχτή: η εντολή "lsof -i|grep clamd" δεν επιστρέφει τίποτα.
Κατά την εκκίνηση του clamd, εμφανίζεται το εξής μήνυμα σφάλματος: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Η λύση είναι να δημιουργήσετε τον κατάλογο /etc/systemd/system/clamav-daemon.socket.d/ και να τοποθετήσετε το αρχείο /etc/systemd/system/clamav-daemon.socket.d/extend.conf :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Στη συνέχεια, επανεκκινήστε τον διακομιστή σας.

Η πολιτική λήξης ζωής (End-Of-Life ή EOL) του antivirus ClamAV

Από τις 15 Δεκεμβρίου 2024, υποστηρίζονται και συντηρούνται μόνο οι εκδόσεις 1.0.x, 1.3.x και 1.4.x του antivirus ClamAV.
Εάν έχετε μια παλαιότερη έκδοση, το ClamAV δεν αναμένεται να λειτουργεί, καθώς οι πρόσφατες βάσεις δεδομένων υπογραφών δεν είναι συμβατές με αυτές τις παλαιές εκδόσεις. Άρα είτε χρησιμοποιείτε τις πρόσθετες υπογραφές για ClamAV, με ελάχιστη επαγγελματική έκδοση, είτε αναβαθμίζετε επειγόντως το antivirus ClamAV σας. Ή και τα δύο, αυτό είναι ακόμα καλύτερο!
Για να πάτε λίγο παραπέρα, σας συνιστούμε να διαβάσετε το άρθρο μας για τις παλιές εκδόσεις του antivirus ClamAV.

Το antivirus ClamWin δεν λειτουργεί πια

ClamWin είναι μια έκδοση για Windows του antivirus ClamAV, αλλά αναπτύχθηκε από τρίτους. Επομένως, το ClamWin δεν υποστηρίζεται ούτε αναπτύσσεται από τις ομάδες της Cisco / Sourcefire. Δυστυχώς, αυτό το antivirus για Windows δεν αναπτύσσεται πλέον από τον ιδιοκτήτη του και η τελευταία διαθέσιμη έκδοση είναι η έκδοση 0.103.2.1. Όπως αναφέρθηκε στην προηγούμενη παράγραφο, οι εκδόσεις 0.103 δεν υποστηρίζονται πλέον από το ClamAV, οπότε το ClamAV έχει αναιρέσει τη λήψη των βάσεων δεδομένων υπογραφών για το ClamWin. Αυτό το καθιστά εντελώς αναποτελεσματικό, γι' αυτό συνιστάται να μην χρησιμοποιείτε το ClamWin για χρήση σε επιχείρηση ή σε παραγωγικό περιβάλλον.

Η λύση που προτείνουμε είναι να κατεβάσετε την επίσημη έκδοση του ClamAV για Windows. Μια έκδοση 32bit και μια άλλη 64bit είναι διαθέσιμες. Σίγουρα, αυτή η έκδοση δεν έχει γραφική διεπαφή GUI, αλλά η γραμμή εντολών του ClamAV δεν είναι πολύ περίπλοκη και θα χρειαστείτε μόνο μερικά απλά αρχεία BAT για να αυτοματοποιήσετε τη σάρωση του σκληρού δίσκου σας.

Υπάρχει επίσης μια ανεπίσημη έκδοση του antivirus ClamAV για Windows που είναι ενδιαφέρουσα καθώς λειτουργεί με πολύ παλιές εκδόσεις των Windows (WinNT και Windows 98!). Αλλά αυτό εξακολουθεί να είναι μέσω γραμμής εντολών και δεν υπάρχει γραφική διεπαφή.

Σφάλμα 426 με τις υπογραφές του SecuriteInfo.com

Εάν λάβετε το σφάλμα 426 κατά τη χρήση του freshclam για να κατεβάσετε τις υπογραφές μας για ιούς, σημαίνει ότι έχετε έναν δωρεάν λογαριασμό και μια παρωχημένη έκδοση του ClamAV.

Η λύση είναι είτε να αναβαθμίσετε την εγκατάσταση του ClamAV, είτε να επιλέξετε μια συνδρομή "Επαγγελματική" για να κατεβάσετε τις υπογραφές μας. Είτε να κάνετε και τα δύο για να βελτιώσετε σημαντικά την ανίχνευση κακόβουλου λογισμικού στην εγκατάστασή σας.

Δεν μπορώ να κατεβάσω το securiteinfoold.hdb ή έχω σφάλματα 'nonblock_recv: recv timing out (30 secs)' ή 'Download failed (28) ... Μήνυμα: Ο χρόνος αναμονής εξαντλήθηκε'

• Για ClamAV παλαιότερο από 0.102.2, προσθέστε "ReceiveTimeout 2400" στο αρχείο σας freshclam.conf και επανεκκινήστε τον δαίμονα freshclam.


• Για ClamAV 0.102.2 και ανώτερα, αφαιρέστε το ReceiveTimeout από το αρχείο σας freshclam.conf και επανεκκινήστε τον δαίμονα freshclam.

Αναβάθμιση της έκδοσης του ClamAV

Όπως βλέπετε, τα περισσότερα προβλήματα επιλύονται με την αναβάθμιση του antivirus ClamAV στην τελευταία γνωστή έκδοση. Υπάρχουν διάφορες μέθοδοι για να το κάνετε αυτό, επιλέξτε την που ταιριάζει στο περιβάλλον σας.

• Εάν έχετε ανακατασκευάσει το ClamAV από τις πηγές του, αρκεί να πάρετε την τελευταία έκδοση των πηγαίων αρχείων του ClamAV και να το ανακατασκευάσετε στο περιβάλλον σας. Προσοχή όμως στην έκδοση του λειτουργικού σας συστήματος: αν χρησιμοποιείτε πολύ παλιό λειτουργικό σύστημα, μπορεί η τελευταία έκδοση του ClamAV να προκαλέσει σφάλματα κατά τη διαδικασία ανακατασκευής.


• Εάν έχετε μια εκτελέσιμη έκδοση του ClamAV, όπως για παράδειγμα με το ClamAV για Windows, αρκεί να εγκαταστήσετε το πακέτο που περιέχει την νέα έκδοση του εκτελέσιμου. Αυτή είναι η πιο απλή λύση!


• Εάν το λειτουργικό σας σύστημα σας έχει προμηθεύσει το antivirus ClamAV, όπως συμβαίνει με την πλειονότητα των περιβαλλόντων Linux (Ubuntu, Debian, Red Hat, CentOS...), τότε είναι επιτακτική ανάγκη να αναβαθμίσετε το λειτουργικό σας σύστημα. Εάν αυτή η αναβάθμιση είναι αδύνατη λόγω περιορισμών, σας προτείνουμε να αφαιρέσετε το πακέτο ClamAV από το λειτουργικό σας σύστημα και να το εγκαταστήσετε ξανά από τις πηγές. Αλλά όπως είδαμε προηγουμένως, αν το λειτουργικό σας σύστημα είναι πολύ παλιό, το ClamAV μπορεί να μην ανακατασκευαστεί.

Για να πάτε παραπέρα, σας προτείνουμε να διαβάσετε το άρθρο μας Τι κινδύνους υπάρχουν όταν χρησιμοποιούμε μια παλιά έκδοση του antivirus ClamAV;

Η υποστήριξη του SecuriteInfo.com

Εάν έχετε συγκεκριμένες ανάγκες σχετικά με το ClamAV, όπως για παράδειγμα ένα συμβόλαιο συντήρησης, υποστήριξη κατά την ανακατασκευή ή τεχνολογική παρακολούθηση, μη διστάσετε να επικοινωνήσετε μαζί μας και να μας εξηγήσετε τις ανάγκες σας. Θα χαρούμε να καλύψουμε τις ανάγκες σας για προστασία από ιούς με το ClamAV.

Η επίσημη υποστήριξη του ClamAV

Εάν έχετε άλλα μηνύματα σφάλματος ή εάν θέλετε άμεση υποστήριξη με τις ομάδες ανάπτυξης του ClamAV, έχετε δύο επιλογές :

• Είτε εγγραφείτε στη επίσημη λίστα αλληλογραφίας (μόνο στα Αγγλικά) και στη συνέχεια μπορείτε να υποβάλλετε την ερώτησή σας μέσω email. Η κοινότητα και μερικοί από τους προγραμματιστές του ClamAV θα σας απαντήσουν σε αυτήν την λίστα.
• Είτε δημιουργήσετε ένα εισιτήριο στο επίσημο Github τους. Αλλά για να το κάνετε αυτό πρέπει να είστε προγραμματιστής, καθώς θα πρέπει να προσκομίσετε πολλά τεχνικά στοιχεία στο εισιτήριο σας. Αυτό δεν είναι για το ευρύ κοινό.

Το γνωρίζατε;

Η SecuriteInfo.com προσφέρει πρόσθετες υπογραφές ιών για το antivirus ClamAV. Αυτό επιτρέπει να αυξήσετε σημαντικά την ανίχνευση κακόβουλου λογισμικού και spam.


Σημείωση: Το ClamAV είναι κατατεθειμένη εμπορική σήμανση της Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...