Kuvaamme ja ratkaisemme yleisimmät virheet, jotka ilmenevät ClamAV-antivirusohjelman käytön aikana (clamscan, clamdscan ja freshclam).
ClamAV:n lähdekoodista käännettyjen virheiden käsittelyä ei käsitellä tässä.

clamdscan "Can't open file or directory ERROR"

Kun skannaat tiedostoja tai hakemistoja, voi olla, että jotkut niistä aiheuttavat tämän virheen. Näitä tiedostoja ei skannata, ja ne ohittavat haittaohjelmien tarkistuksen.
Tämä voi johtua hakemistojen tai tiedostojen oikeuksista, joten sinun tulee tarkistaa, että clamdscanilla on luku- ja kirjoitusoikeudet näille hakemistoille ja tiedostoille.
Tämä voi myös johtua apparmorista. Ratkaisuna on laittaa clamd apparmorin "complain"-tilaan. Tässä on ratkaisu Debianille:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Korjataksesi tämän virheen voit kokeilla kolmea seuraavaa ratkaisua:

• Asenna skannatut tiedostot ja hakemistot oikeuksilla 666: chmod 666 *
• Käytä clamdscania --fdpass-vaihtoehdon kanssa: clamdscan --fdpass
• Käytä clamdscania --stream-vaihtoehdon kanssa: clamdscan --stream

"Ignoring mirror (due to previous errors)" freshclamin lokitiedostoissa

Kun tämä virheilmoitus ilmenee, et pysty lataamaan ClamAV-antivirusohjelman signatuuritietokantoja.
Tämä virheilmoitus vastaa versiota, joka on vanhempi kuin ClamAV 0.102.
Versiosta 0.102 alkaen freshclamin verkko-osa on muutettu radikaalisti. Tämän vuoksi tämän virheen ratkaisemiseksi on tarpeen päivittää ClamAV-versioni.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" ja "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" freshclamin lokitiedostoissa

Tämä virheilmoitus osoittaa, että ei voida muodostaa yhteyttä ClamAV:n palvelimiin, jotta antivirusohjelman signatuuritietokannat voitaisiin ladata.

• Joko palvelimellasi on internet-yhteysongelmia.
• Joko käytät proxyä (läpinäkyvää tai ei). Freshclam suosii suoraa yhteyttä ClamAV:n palvelimiin eikä tue hyvin proxy-yhteyksiä. Erityisesti jos proxy muokkaa HTTP(S)-yhteyden ominaisuuksia, kuten User-Agentia.
• Joko käytät erittäin vanhaa versiota ClamAV-antivirusohjelmasta, ja on välttämätöntä päivittää se.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" freshclamin lokitiedostoissa

Et pysty lataamaan ClamAV-antivirusohjelman signatuuritietokantoja.
On mahdollista, että mirrors.dat-tiedosto on täynnä. Tämä tiedosto estää ClamAV:n virheelliset peiliserverit. Jos sinulla on ollut internet-yhteyskatkos, on mahdollista, että freshclam on estänyt kaikki peilit, eikä niitä ole enää saatavilla.
Ratkaisuna on poistaa tämä tiedosto (esimerkiksi /var/lib/clamav/mirrors.dat Debianilla) ja käynnistää freshclam uudelleen.

Huomaa, että versioista 0.100 alkaen tämä ongelma ei enää esiinny. Joten jos näet tämänkaltaisia virheitä, on tärkeää päivittää ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" freshclamin lokitiedostoissa

Et pysty päivittämään ClamAV-antivirusohjelman signatuuritietokantoja ja tämä viesti ilmestyy.
On mahdollista, että tietokoneesi ei ole ajan tasalla. Päivitä päivämäärä ja aika NTP:llä.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

On mahdollista, että järjestelmässäsi on asennettuna kaksi eri versiota libclamav:sta. Nämä voivat olla kaksi versiota, jotka on toimitettu käyttöjärjestelmäsi mukana. Poista siis vanhempi versio. Tämä voi myös olla sekoitus ClamAV:n lähdekoodista tehdyn asennuksen ja käyttöjärjestelmän tarjoaman version välillä. On aina tärkeää huolehtia siitä, että järjestelmässäsi on vain yksi versio libclamav:sta asennettuna.

"LibClamAV Error: yyerror()" ja "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV tukee virustorjuntatunnisteita YARA-muodossa. Mutta Yara-tulkki, jota käytetään ClamAV:ssa, on erityinen ja sisäinen. Tämä Yara-tulkki ei ole 100 % yhteensopiva virallisen Yara-tulkin kanssa.
Jotkut YARA-säännöt eivät siis toimi täysin ClamAV:n kanssa.
Ratkaisuksi voit:

• Kirjoita ongelmallinen YARA-sääntö uudelleen saadaksesi sen yhteensopivaksi ClamAV:n kanssa.
• Toivon, että ClamAV:n Yara-tulkki paranee lähitulevaisuudessa.

"LibClamAV Error" -virheet, kuten "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" ClamAV:n käytön aikana.

Nämä virheet ovat hyvin spesifisiä ja voivat paljastaa ongelman ClamAV:n käsittelemien tietojen skannauksen kanssa. Suosittelemme, että ilmoitat ongelmasta ClamAV:n kehittäjille viralliselle Github-sivulle.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" ja "Can't allocate memory ERROR" ClamAV:n käytön aikana

Tämä virheilmoitus viittaa yleensä muistivajeeseen skannauksen aikana. Joten:

• Joko sinulla ei ole tarpeeksi muistia, ja olisi hyvä lisätä RAM-muistia palvelimellesi tai VPS:lle.
• Joko olet skannaamassa liian suurta kohdetta. Vältä tätä rajoittamalla skannattavien kohteiden kokoa: --max-filesize tai --max-scansize komentorivillä
• Joko skannaat järjestelmätiedostoja tai hakemistoja, kuten esimerkiksi hakemistoa /proc Linuxissa. Tämä on kielletty, älä tee sitä.

"Segmentation fault (core dumped)" ClamAV:n käytön aikana

Tämä virheilmoitus on varmasti kaikista tärkein. Se tarkoittaa, että antivirusohjelma on kaatunut niin vakavasti, että käyttöjärjestelmä on keskeyttänyt ClamAV-prosessin.

Mutta viesti on liian yleinen ja voi johtua monista eri syistä, kuten käyttöjärjestelmäsi asetuksista, käytettävissä olevista resursseista (RAM) tai jopa kohteesta, jonka yrität skannata ClamAV:lla (liian suuri tiedosto tai järjestelmätiedosto kuten /proc).

Täten ei ole mahdollista määrittää tarkkaa syytä tälle kaatumiselle, ja paras ratkaisu on avata virheilmoitus ClamAV:n kehittäjille heidän virallisella Github-sivullaan.

TCP: Ei tcp AF_INET/AF_INET6 SOCK_STREAM -liitäntää vastaanotettu systemd:ltä

ClamAV-daemoni on käynnissä, mutta TCP-porttia 3310 ei ole avattu: komento "lsof -i|grep clamd" ei palauta mitään.
Clamd:n käynnistyessä ilmestyy seuraava virheilmoitus: "TCP: Ei tcp AF_INET/AF_INET6 SOCK_STREAM -liitäntää vastaanotettu systemd:ltä".

Ratkaisuna on luoda hakemisto /etc/systemd/system/clamav-daemon.socket.d/ ja laittaa sinne tiedosto /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Ja käynnistää palvelin uudelleen.

ClamAV-antivirusohjelman elinkaaripolitiikka (End-Of-Life tai EOL)

15. joulukuuta 2024 alkaen vain ClamAV-antivirusohjelman versiot 1.0.x, 1.3.x ja 1.4.x ovat tuettuja ja ylläpidettyjä.
Jos sinulla on vanhempi versio, ClamAV ei enää toimi, koska uudet tunnistetietokannat eivät ole yhteensopivia näiden vanhojen versioiden kanssa. Joten joko käytät lisämerkkitunnisteita ClamAV:lle vähintään ammattilaistasolla tai päivität ClamAV-antivirusohjelmasi kiireellisesti. Tai mieluiten molemmat!
Jos haluat tietää lisää, suosittelen lukemaan artikkelimme vanhoista versioista ClamAV-antivirusohjelmassa.

ClamWin-antivirus ei toimi enää

ClamWin on ClamAV-antivirusohjelman Windows-portti, mutta sen on kehittänyt kolmas osapuoli. ClamWinia ei siis tueta eikä kehitetä Cisco / Sourcefire -tiimien toimesta. Valitettavasti tämä Windowsille tarkoitettu antivirusohjelma ei enää ole kehitteillä sen omistajan toimesta, ja sen viimeinen saatavilla oleva versio on 0.103.2.1. Kuten edellisessä kappaleessa mainittiin, versiot 0.103 eivät enää ole ClamAV:n tukemia, joten ClamAV on estänyt allekirjoitustietokantojen lataamisen ClamWinille. Tämä tekee siitä täysin tehottoman, joten ClamWinin käyttöä ei suositella yrityskäytössä tai tuotantoympäristössä.

Suosittelemamme ratkaisu on ladata ClamAV:n virallinen versio Windowsille. Saatavilla on sekä 32-bittinen että 64-bittinen versio. Tämä versio ei tosin sisällä graafista käyttöliittymää (GUI), mutta ClamAV:n komentorivi ei ole kovin monimutkainen, ja muutama yksinkertainen BAT-tiedosto riittää kovalevyn skannauksen automatisointiin.

Saatavilla on myös ClamAV-antivirusohjelman epävirallinen Windows-portti, joka on mielenkiintoinen, koska se toimii erittäin vanhoilla Windows-versioilla (WinNT ja Windows 98!). Mutta tämä on edelleen komentorivipohjainen, eikä siinä ole graafista käyttöliittymää.

Virhe 426 SecuriteInfo.com:n merkkitunnisteilla

Jos saat virheen 426 käyttäessäsi freshclamia ladataksesi merkkitunnisteitamme, sinulla on ilmainen tili ja vanhentunut ClamAV-antivirus.

Ratkaisu on joko päivittää ClamAV-asennuksesi tai valita "Ammattilaistaso"-tilaus ladataksesi merkkitunnisteemme. Tai tehdä molemmat parantaaksesi merkittävästi haittaohjelmien tunnistusta asennuksessasi.

En pysty lataamaan securiteinfoold.hdb-tiedostoa, tai saan virheitä 'nonblock_recv: recv timing out (30 secs)' tai 'Download failed (28) ... Message: Timeout was reached'

• ClamAV-versioille, jotka ovat vanhempia kuin 0.102.2, lisää "ReceiveTimeout 2400" freshclam.conf-tiedostoosi ja käynnistä freshclam-daemoni uudelleen.


• ClamAV-versioille 0.102.2 ja sitä uudemmille, poista ReceiveTimeout freshclam.conf-tiedostostasi ja käynnistä freshclam-daemoni uudelleen.

Päivitä ClamAV-versiosi

Kuten näet, useimmat ongelmat ratkeavat päivittämällä ClamAV-antivirusohjelma tunnettuun uuteen versioon. On useita tapoja tehdä tämä, valitse se, joka sopii ympäristöösi.

• Jos olet kääntänyt ClamAV:n sen lähdekoodista, ota vain uusin versio ClamAV:n lähdekooditiedostoista ja käännä se omassa ympäristössäsi. Huomaa kuitenkin käyttöjärjestelmäsi versio: jos käytät liian vanhaa käyttöjärjestelmää, ClamAV:n uusin versio saattaa aiheuttaa käännösvirheitä.


• Jos sinulla on ClamAV:n suoritettava versio, kuten ClamAV Windowsille, asenna vain paketti, joka sisältää uuden suoritettavan version. Tämä on helpoin ratkaisu!


• Jos käyttöjärjestelmäsi on toimittanut ClamAV-antivirusohjelman, kuten useimmissa Linux-ympäristöissä (Ubuntu, Debian, Red Hat, CentOS...), on tärkeää päivittää käyttöjärjestelmäsi. Jos tämä päivitys on mahdoton, koska se on liian työlästä, suosittelemme poistamaan ClamAV-paketin käyttöjärjestelmästäsi ja asentamaan ja kääntämään ClamAV:n lähdekoodista. Mutta kuten aiemmin mainittiin, jos käyttöjärjestelmäsi on liian vanha, ClamAV ei ehkä käänny.

Lisätietoja varten suosittelemme lukemaan artikkelimme Mitä riskejä on käyttää vanhaa versiota ClamAV-antivirusohjelmasta?

SecuriteInfo.com-tuki

Jos sinulla on erityistarpeita ClamAV:n suhteen, kuten esimerkiksi ylläpitosopimus, tuki käännökselle tai tekninen seuranta, älä epäröi ottaa yhteyttä meihin ja kertoa tarpeesi. Autamme mielellämme tarjoamaan sinulle virustorjuntatukea ClamAV:n avulla.

ClamAV:n virallinen tuki

Jos sinulla on muita virheilmoituksia tai haluat suoraa tukea ClamAV:n kehittäjiltä, sinulla on kaksi vaihtoehtoa:

• Voit liittyä viralliseen postituslistalle (vain englanniksi), jossa voit esittää kysymyksesi sähköpostitse. Yhteisö ja osa ClamAV:n kehittäjistä vastaavat sinulle tällä listalla.
• Voit luoda tiketin heidän viralliselle Github-sivulleen. Tämä vaatii kuitenkin kehittäjän roolin, sillä sinun täytyy liittää teknisiä tietoja tikettiin. Tämä ei ole tarkoitettu tavallisille käyttäjille.

Tiesitkö?

SecuriteInfo.com tarjoaa lisävirustorjuntamerkkejä ClamAV:lle, jotka parantavat merkittävästi haittaohjelmien ja roskapostin tunnistusta.


Huomautus: ClamAV on Cisco-yhtiön rekisteröity tavaramerkki

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...