Kirjeldame ja lahendame kõige tavalisemad vead, mis tekivad ClamAV viirustõrje (clamscan, clamdscan ja freshclam) kasutamisel.
ClamAV allikakoodist kompileerimisega seotud vigu siin ei käsitleta.

clamdscan "Can't open file or directory ERROR"

Failide või kaustade skannimisel võib juhtuda, et mõned neist põhjustavad selle vea. Selliseid faile ei skaneerita ja need jäävad pahavara tuvastamisest välja.
See võib tuleneda kaustade või failide õigustest, seega tuleb kontrollida, kas clamdscanil on lugemis- ja kirjutamisõigused neile kaustadele ja failidele.
Samas võib see probleem tuleneda ka AppArmorist. Lahendus on seadistada clamd AppArmori "kaebamise" režiimi. Lahendus Debiani jaoks on järgmine:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Selle vea parandamiseks võite proovida järgmisi kolme lahendust:

• Määrake skannitavatele failidele ja kaustadele õigused 666: chmod 666 *
• Kasutage clamdscanit koos --fdpass valikuga: clamdscan --fdpass
• Kasutage clamdscanit koos --stream valikuga: clamdscan --stream

"Ignoring mirror (due to previous errors)" freshclami logides

Kui see veateade ilmub, tähendab see, et viirustõrje allkirjabaase ei õnnestu alla laadida.
See teade viitab ClamAV versioonile, mis on vanem kui 0.102.
Alates versioonist 0.102 muudeti freshclami võrguosa koodi põhjalikult. Seetõttu on selle vea lahendamiseks vajalik ClamAV uuendamine.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" ja "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" freshclami logides

See teade näitab, et ClamAV serveritega ei õnnestu ühendust luua, et allkirjabaase alla laadida.

• Võimalik, et teie serveril on Interneti-ühenduse probleem.
• Võib-olla kasutate puhverserverit (nähtav või mitte). Freshclam eelistab otsest ühendust ClamAV serveritega ja ei toeta hästi puhverserveriühendusi. Eriti kui puhverserver muudab HTTP(S) ühenduse omadusi, näiteks muutes User-Agent'i.
• Võib-olla kasutate väga vana ClamAV versiooni, mille uuendamine on hädavajalik.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" freshclami logides

Teil ei õnnestu viirustõrje allkirjabaase alla laadida.
Võimalik, et fail mirrors.dat on ülekoormatud. See fail mustab ClamAV peegelservereid, mis on vigased. Kui teil oli Interneti-ühenduse katkestus, võis freshclam musta nimekirja lisada kõik peeglid, nii et ühtegi saadaval ei ole.
Lahendus on kustutada see fail (näiteks /var/lib/clamav/mirrors.dat Debianis) ja taaskäivitada freshclam.

Tuleb märkida, et alates versioonist 0.100 seda probleemi enam ei esine. Kui näete sellist viga, on oluline ClamAV uuendamine.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" freshclami logides

Teil ei õnnestu viirustõrje allkirjabaase uuendada ja see teade ilmub.
Võimalik, et teie arvuti kellaaeg ei ole õigesti seadistatud. Uuendage kuupäev ja kellaaeg NTP abil.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Võimalik, et teie süsteemi on installitud kaks erinevat versiooni libclamavist. Need võivad olla teie operatsioonisüsteemi poolt pakutavad kaks versiooni. Sellisel juhul piisab vanema versiooni eemaldamisest. Samuti võib olla tegemist seguga ClamAV allikakoodist installitud versioonist ja operatsioonisüsteemi poolt pakutavast versioonist. Tuleb alati veenduda, et süsteemis oleks ainult üks libclamavi versioon.

"LibClamAV Error: yyerror()" ja "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV toetab YARA formaadis viiruseallkirju. Kuid YARA tõlgendamise mootor, mida ClamAV kasutab, on spetsiifiline ja sisemine. See YARA mootor ei ole täielikult ühilduv ametliku YARA tõlgendajaga.
Seetõttu ei pruugi mõned YARA reeglid ClamAV-iga täielikult töötada.
Probleemi lahendamiseks:

• Kirjutage YARA reegel ümber nii, et see oleks ClamAV-iga ühilduv.
• Loodate, et lähitulevikus ClamAV YARA mootorit täiustatakse.

Veateated "LibClamAV Error", näiteks "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" ClamAV kasutamisel.

Need veateated on väga spetsiifilised ja võivad viidata andmete skannimisprobleemile, mida ClamAV ei suuda korralikult hallata. Soovitame edastada see teave ClamAV arendustiimile ametlikul Githubi lehel.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" ja "Can't allocate memory ERROR" ClamAV kasutamisel

See veateade viitab üldiselt RAM-i puudumisele skannimise ajal. Seega:

• Teil pole piisavalt mälu, soovitatav on suurendada serveri või VPS-i RAM-i mahtu.
• Te üritate skannida liiga suurt objekti. Selle vältimiseks seadke skannitavate objektide suuruse piirangud: --max-filesize või --max-scansize käsureal.
• Te skannite süsteemifaile või -kaustu, näiteks Linuxis kausta /proc. See on keelatud, ärge tehke seda.

"Segmentation fault (core dumped)" ClamAV kasutamisel

See veateade on kõige tõsisem. See viitab viirustõrje krahhile, mis on nii tõsine, et operatsioonisüsteem lõpetab ClamAV protsessi.

Kuid teade on liiga üldine ja sellel võivad olla mitmed põhjused, näiteks operatsioonisüsteemi konfiguratsioon, saadaolevad ressursid (RAM) või objekt, mida proovite ClamAV-iga skannida (liiga suur või süsteemifail kaustas /proc).

Täpse põhjuse kindlaksmääramine pole võimalik, seega on parim lahendus avada veapilet ClamAV arendustiimi juures nende ametlikul Githubi lehel.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV deemon töötab, kuid TCP port 3310 ei ole avatud: käsk "lsof -i|grep clamd" ei tagasta midagi.
Clamdi käivitamisel ilmub järgmine veateade: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Lahendus on luua kaust /etc/systemd/system/clamav-daemon.socket.d/ ja lisada sinna fail /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Seejärel taaskäivitage server.

ClamAV viirustõrje elutsükli lõppemise (End-Of-Life või EOL) poliitika

Alates 15. detsembrist 2024 toetatakse ja hooldatakse ainult ClamAV viirustõrje versioone 1.0.x, 1.3.x ja 1.4.x.
Kui teil on varasem versioon, siis ClamAV ei pruugi enam töötada, sest uuemad allkirjabaasid ei ühildu vanade versioonidega. Seega peate kas kasutama meie täiendavaid allkirju ClamAV jaoks (vähemalt professionaalsel tasemel), värskendama kiiresti oma ClamAV viirustõrjet või tegema mõlemat – see on veelgi parem!
Lisateabe saamiseks soovitame lugeda meie artiklit vana ClamAV viirustõrje versiooni kasutamise kohta.

ClamWin viirustõrje ei tööta enam

ClamWin on ClamAV viirustõrje Windowsi port, mida haldab kolmas osapool. Seega ei toeta ega arenda Cisco / Sourcefire meeskonnad ClamWin-i. Kahjuks pole selle viirustõrje arendamine jätkunud ja selle viimane versioon on 0.103.2.1. Nagu eelnevas lõigus märgitud, ei toetata enam versiooni 0.103, mistõttu ClamAV blokeeris allkirjabaaside allalaadimise ClamWin-i jaoks. See muudab selle täiesti ebaefektiivseks ning seetõttu ei soovitata ClamWin-i kasutada ettevõttes või tootmiskeskkonnas.

Soovitatav lahendus on allalaadida ClamAV ametlik Windowsi versioon. Saadaval on 32-bitine ja 64-bitine versioon. Kuigi sellel versioonil puudub graafiline kasutajaliides (GUI), on ClamAV käsurea kasutamine lihtne ja kõvaketta skannimise automatiseerimiseks piisab mõnest lihtsast BAT-failist.

Samuti on olemas ClamAV mitteametlik Windowsi port, mis on huvitav, kuna see töötab ka väga vanadel Windowsi versioonidel (WinNT ja Windows 98!). Kuid see jääb käsurea tasemele ega sisalda graafilist kasutajaliidest.

Viga 426 SecuriteInfo.com allkirjadega

Kui saate freshclami kasutamisel vea 426 meie viiruseallkirjade allalaadimisel, tähendab see, et teil on tasuta konto ja aegunud ClamAV viirustõrje.

Lahendus on värskendada ClamAV installatsiooni või valida "Professionaalne" tellimus meie allkirjade allalaadimiseks. Või teha mõlemat, et oluliselt parandada oma paigalduse pahavara tuvastamist.

Ma ei saa alla laadida securiteinfoold.hdb või saan veateateid "nonblock_recv: recv timing out (30 secs)" või "Download failed (28) ... Message: Timeout was reached"

• ClamAV versiooni puhul, mis on vanem kui 0.102.2, lisage "ReceiveTimeout 2400" oma freshclam.conf faili ja taaskäivitage freshclam deemon.


• ClamAV versiooni 0.102.2 ja uuemate puhul eemaldage ReceiveTimeout oma freshclam.conf failist ja taaskäivitage freshclam deemon.

ClamAV versiooni uuendamine

Nagu näete, lahendavad enamiku probleemidest ClamAV viirustõrje värskendused. Selleks on mitu meetodit – valige see, mis sobib teie keskkonnaga.

• Kui olete ClamAV kompileerinud allikakoodidest, hankige lihtsalt ClamAV uusimad allikafailid ja kompileerige see oma keskkonnas uuesti. Siiski olge tähelepanelik oma operatsioonisüsteemi versiooni suhtes: kui kasutate liiga vana operatsioonisüsteemi, võivad ClamAV uusimad versioonid põhjustada kompileerimisvigu.


• Kui teil on ClamAV käivitatav versioon, näiteks ClamAV Windowsis, piisab, kui installite uue versiooniga paketi. See on kõige lihtsam lahendus!


• Kui teie operatsioonisüsteem pakub teile ClamAV viirustõrjet, nagu enamikus Linuxi keskkondades (Ubuntu, Debian, Red Hat, CentOS jne), on vaja oma operatsioonisüsteemi värskendada. Kui see värskendus pole võimalik, kuna see on liiga keeruline, soovitame eemaldada ClamAV paketi oma süsteemist ja installida ning kompileerida ClamAV allikatest. Kuid nagu varem mainitud, kui teie operatsioonisüsteem on liiga vana, ei pruugi ClamAV kompileerimine õnnestuda.

Lisateabe saamiseks soovitame lugeda meie artiklit Mida riskite, kui kasutate vana ClamAV viirustõrje versiooni?

SecuriteInfo.com tugi

Kui teil on ClamAV-ga seotud erivajadusi, näiteks hooldusleping, abi kompileerimisel või tehnoloogiline järelevalve, võtke julgelt meiega ühendust ja selgitage oma vajadusi. Meil on hea meel aidata teil viirustõrje kaitset ClamAV abil tagada.

ClamAV ametlik tugi

Kui teil on muid veateateid või soovite otse ClamAV arendustiimilt tuge, on teil kaks võimalust:

• Liituge ametliku meililistiga (ainult inglise keeles) ja esitage oma küsimus e-posti teel. Ühendus ja mõned ClamAV arendajad vastavad teile sellel listil.
• Looge pilet nende ametlikul Githubi lehel. Kuid selleks peate olema arendaja, kuna peate esitama oma piletile palju tehnilisi üksikasju. See pole mõeldud tavakasutajatele.

Kas teadsite?

SecuriteInfo.com pakub täiendavaid viiruseallkirju ClamAV viirustõrjele, mis suurendavad märkimisväärselt pahavara ja rämpsposti tuvastamise taset.


Märkus: ClamAV on Cisco kaubamärk

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...