נתאר ונסביר כיצד לפתור את השגיאות הנפוצות ביותר המתרחשות בעת השימוש באנטי-וירוס ClamAV (clamscan, clamdscan ו-freshclam).
שגיאות קומפילציה של ClamAV מהמקור אינן מכוסות כאן.

שגיאה clamdscan "Can't open file or directory ERROR"

כאשר אתם סורקים קבצים או תיקיות ייתכן שחלק מהם יגרמו לשגיאה זו. קבצים אלו לא יסרקו וכך לא יתבצע אימות לנוכחות של תוכנות זדוניות.
מקור הבעיה יכול להיות בהגדרות הרשאות של התיקיות או הקבצים, לכן עליכם לוודא של-clamdscan יש הרשאות קריאה וכתיבה על התיקיות והקבצים הללו.
עם זאת, הבעיה יכולה גם להיות קשורה ל-AppArmor. הפתרון הוא להכניס את clamd למצב "complain" של AppArmor. כך תעשו זאת ב-Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


שגיאה clamdscan "File path check failure: Permission denied. ERROR"

כדי לתקן שגיאה זו, ניתן לנסות את שלושת הפתרונות הבאים:

• להגדיר את הקבצים והתיקיות לסריקה עם הרשאות 666: chmod 666 *
• להשתמש ב-clamdscan עם האפשרות --fdpass: clamdscan --fdpass
• להשתמש ב-clamdscan עם האפשרות --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" ביומני הרישום של freshclam

כאשר הודעת שגיאה זו מופיעה, המשמעות היא שלא ניתן להוריד את מסדי הנתונים של חתימות האנטי-וירוס.
הודעה זו מתייחסת לגרסה מוקדמת של ClamAV (גרסה 0.102).
החל מגרסה 0.102, קוד הרשת של freshclam עבר שינוי משמעותי. לכן, כדי לתקן שגיאה זו, יש לעדכן את גרסת ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" ו-"WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" ביומני הרישום של freshclam

שגיאה זו מצביעה על כך שאין אפשרות להתחבר לשרתי ClamAV להורדת מסדי הנתונים של חתימות האנטי-וירוס.

• ייתכן שלשרת יש בעיה בחיבור לאינטרנט.
• ייתכן שאתם משתמשים ב-Proxy (שקוף או רגיל). Freshclam מעדיף חיבור ישיר לשרתי ClamAV ומתקשה מאוד עם חיבורים דרך Proxy, במיוחד אם ה-Proxy משנה את מאפייני החיבור HTTP(S), לדוגמה על ידי שינוי ה-User-Agent.
• ייתכן שאתם משתמשים בגרסה ישנה מאוד של ClamAV, ויש לעדכן אותה באופן מיידי.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" ביומני הרישום של freshclam

לא ניתן להוריד את מסדי הנתונים של חתימות האנטי-וירוס.
ייתכן שקובץ mirrors.dat מלא. קובץ זה משמש לרשום שרתים מראות של ClamAV שאינם זמינים. אם הייתה ניתוק אינטרנט, ייתכן ש-freshclam סימן את כל המראות כלא זמינות ואין יותר מראות זמינות.
הפתרון הוא למחוק קובץ זה (לדוגמה: /var/lib/clamav/mirrors.dat ב-Debian) ולהפעיל מחדש את freshclam.

שימו לב שמגרסה 0.100 ואילך בעיה זו כבר לא קיימת. לכן, אם אתם רואים שגיאה מסוג זה, חשוב לעדכן את גרסת ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" ביומני הרישום של freshclam

אינכם מצליחים לעדכן את מסדי הנתונים של חתימות האנטי-וירוס והודעה זו מופיעה.
ייתכן שהמחשב שלכם אינו מכוון לשעה נכונה. עדכנו את התאריך והשעה באמצעות NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

ייתכן שיש לכם שתי גרסאות שונות של libclamav המותקנות במערכת שלכם. ייתכן שמדובר בשתי גרסאות שסופקו על ידי מערכת ההפעלה שלכם. מספיק להסיר את הגרסה הישנה יותר. ייתכן גם שמדובר בשילוב בין התקנה ממקורות קוד של ClamAV לגרסה שסופקה על ידי מערכת ההפעלה. חשוב לוודא שתמיד מותקנת רק גרסה אחת של libclamav במערכת שלכם.

"LibClamAV Error: yyerror()" ו-"LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV תומך בחתימות אנטי-ויראליות בפורמט YARA. אך מנוע הפרשנות YARA המשמש ב-ClamAV הוא ייחודי ופנימי ל-ClamAV. מנוע זה אינו תואם ב-100% לפרשן הרשמי של YARA.
לכן, ייתכן שחלק מחוקי YARA לא יפעלו באופן מלא עם ClamAV.
כדי לפתור בעיה זו:

• או שתשכתב את חוק ה-YARA שגורם לבעיה כדי להפוך אותו לתואם ל-ClamAV.
• או שתמתין לשיפור מנוע ה-YARA של ClamAV בעתיד.

שגיאות "LibClamAV Error" כמו "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" בשימוש ב-ClamAV

שגיאות אלו מאוד ספציפיות ויכולות להדגיש בעיה בסריקת נתונים שלא מנוהלים כראוי על ידי ClamAV. אנו ממליצים לדווח על כך לצוותי הפיתוח של ClamAV ב-Github הרשמי.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" ו-"Can't allocate memory ERROR" בשימוש ב-ClamAV

הודעת שגיאה זו מציינת בדרך כלל חוסר בזיכרון RAM במהלך סריקה. לכן:

• או שאין לכם מספיק זיכרון, כדאי להגדיל את זיכרון ה-RAM של השרת או ה-VPS שלכם.
• או שאתם סורקים אובייקט גדול מדי. כדי להימנע מכך, הגבל את גודל האובייקטים הנסרקים באמצעות --max-filesize או --max-scansize בשורת הפקודה.
• או שאתם סורקים קבצים או תיקיות מערכת, כמו לדוגמה התיקייה /proc בלינוקס. דבר זה אסור, אל תעשו זאת.

"Segmentation fault (core dumped)" בשימוש ב-ClamAV

הודעת שגיאה זו היא כנראה החשובה ביותר. היא מצביעה על קריסה של האנטי-וירוס שהיא כה חמורה עד שמערכת ההפעלה עצרה את תהליך ClamAV.

אך ההודעה כללית מדי והיא תוצאה של גורמים רבים אפשריים, כמו לדוגמה תצורת מערכת ההפעלה, משאבים זמינים (RAM) או האובייקט שאתם מנסים לסרוק עם ClamAV (גדול מדי, או קובץ מערכת של /proc לדוגמה).

לכן לא ניתן לקבוע את הגורם המדויק לקריסה והפתרון הטוב ביותר הוא לפתוח דו"ח תקלה לצוותי הפיתוח של ClamAV ב-Github הרשמי.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

תהליך ClamAV daemon רץ, אך פורט TCP 3310 אינו פתוח: הפקודה "lsof -i|grep clamd" אינה מחזירה דבר.
בעת הפעלת clamd, מופיעה הודעת השגיאה הבאה: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

הפתרון הוא ליצור את התיקייה /etc/systemd/system/clamav-daemon.socket.d/ ואז לשים בה את הקובץ /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

לאחר מכן, יש להפעיל מחדש את השרת.

מדיניות סוף החיים (End-Of-Life או EOL) של האנטי-וירוס ClamAV

מאז ה-15 בדצמבר 2024, רק הגרסאות 1.0.x, 1.3.x ו-1.4.x של האנטי-וירוס ClamAV נתמכות ומתוחזקות.
אם יש לכם גרסה קודמת, ClamAV כבר לא אמור לפעול, מכיוון שמסדי הנתונים העדכניים של החתימות אינם תואמים עוד לגרסאות הישנות. לכן, או שתשתמשו ב-חתימות הנוספות שלנו עבור ClamAV, בגרסת Professional לפחות, או שתעדכנו בדחיפות את האנטי-וירוס שלכם ClamAV. ניתן לעשות את שניהם, וזה אף עדיף!
כדי ללמוד עוד, אנו ממליצים לקרוא את המאמר שלנו אודות השימוש בגרסאות ישנות של האנטי-וירוס ClamAV.

האנטי-וירוס ClamWin כבר לא פועל

ClamWin הוא גרסה מותאמת ל-Windows של האנטי-וירוס ClamAV, אך היא פותחה על ידי צד שלישי. לכן, ClamWin אינו נתמך או מפותח על ידי צוותי Cisco / Sourcefire. לצערנו, האנטי-וירוס הזה עבור Windows כבר אינו מפותח, והגרסה האחרונה שלו היא גרסה 0.103.2.1. כפי שנאמר בסעיף הקודם, גרסאות 0.103 אינן נתמכות עוד על ידי ClamAV, ולכן ClamAV ביטל את הורדת מסדי הנתונים של החתימות עבור ClamWin. דבר זה הופך אותו ללא יעיל לחלוטין, ולכן לא מומלץ להשתמש ב-ClamWin בסביבה עסקית או בסביבת ייצור.

הפתרון שאנו ממליצים עליו הוא להוריד את הגרסה הרשמית של ClamAV עבור Windows. ישנה גרסת 32 ביט וגרסת 64 ביט. אמנם, לגרסה זו אין ממשק גרפי GUI, אך שורת הפקודה של ClamAV אינה מסובכת במיוחד וכמה קבצי BAT פשוטים יספיקו כדי לאוטומציה של סריקת הדיסק הקשיח שלכם.

קיימת גם גרסה לא רשמית של האנטי-וירוס ClamAV עבור Windows, שהיא מעניינת מכיוון שהיא פועלת על גרסאות Windows ישנות מאוד (WinNT ו-Windows 98!). אך זו עדיין שורת פקודה, ואין לה ממשק גרפי.

שגיאה 426 עם החתימות של SecuriteInfo.com

אם אתם מקבלים שגיאה 426 בשימוש ב-freshclam להורדת החתימות שלנו, המשמעות היא שיש לכם חשבון חינמי ואנטי-וירוס ClamAV מיושן.

הפתרון הוא או לעדכן את התקנת ClamAV שלכם, או לבחור במנוי "Professional" כדי להוריד את החתימות שלנו. ניתן גם לעשות את שניהם כדי לשפר משמעותית את זיהוי הנוזקות בהתקנה שלכם.

אני לא מצליח להוריד את securiteinfoold.hdb, או שיש לי שגיאות 'nonblock_recv: recv timing out (30 secs)' או 'Download failed (28) ... Message: Timeout was reached'

• עבור ClamAV ישן מ-0.102.2, הוסיפו "ReceiveTimeout 2400" לקובץ שלכם freshclam.conf והפעילו מחדש את הדמון freshclam.


• עבור ClamAV 0.102.2 ומעלה, הסירו את ReceiveTimeout מקובץ freshclam.conf והפעילו מחדש את הדמון freshclam.

עדכון גרסת ClamAV שלכם

כפי שאתם רואים, רוב הבעיות נפתרות על ידי עדכון האנטי-וירוס ClamAV לגרסה העדכנית ביותר. ישנן מספר שיטות לעשות זאת, עליכם לבחור את השיטה המתאימה לסביבתכם.

• אם קימפלתם את ClamAV ממקורותיו, פשוט הורידו את גרסת המקור האחרונה של ClamAV ולקמפל מחדש בסביבה שלכם. עם זאת, שימו לב לגרסת מערכת ההפעלה שלכם: אם אתם משתמשים במערכת הפעלה ישנה מדי, ייתכן שהגרסה העדכנית של ClamAV תגרום לשגיאות קימפול.


• אם יש לכם גרסה מוכנה להפעלה של ClamAV, כמו למשל ClamAV Windows, פשוט התקינו את החבילה שמכילה את הגרסה החדשה של התוכנה. זהו הפתרון הפשוט ביותר!


• אם מערכת ההפעלה שלכם סיפקה את האנטי-וירוס ClamAV, כפי שקורה ברוב מערכות הלינוקס (Ubuntu, Debian, Red Hat, CentOS...), אז חיוני לעדכן את מערכת ההפעלה שלכם. אם עדכון זה בלתי אפשרי עקב מגבלות, אנו ממליצים להסיר את החבילה ClamAV ממערכת ההפעלה שלכם ולהתקין ואז לקמפל מחדש את ClamAV ממקורותיו. אך כפי שנאמר קודם, אם מערכת ההפעלה שלכם ישנה מדי, ClamAV עלול לא להתקמפל.

כדי ללמוד עוד, אנו ממליצים לקרוא את המאמר שלנו מה הסיכונים בשימוש בגרסה ישנה של האנטי-וירוס ClamAV?

תמיכת SecuriteInfo.com

אם יש לכם צרכים ייחודיים לגבי ClamAV, כמו למשל חוזה תחזוקה, תמיכה בקימפול או מעקב טכנולוגי, אל תהססו ליצור עמנו קשר ולשתף אותנו בצרכים שלכם. נשמח לענות על צרכיכם בהגנה אנטי-ויראלית עם ClamAV.

תמיכה רשמית של ClamAV

אם יש לכם הודעות שגיאה נוספות, או אם אתם מעוניינים בתמיכה ישירה עם צוותי הפיתוח של ClamAV, יש לכם שתי אפשרויות:

• או להירשם ל-רשימת הדיוור הרשמית (באנגלית בלבד) ואז תוכלו לשאול שאלות בדוא"ל. הקהילה וחלק ממפתחי ClamAV יענו לכם ברשימה זו.
• או לפתוח כרטיס ב-Github הרשמי. אך לשם כך עליכם להיות מפתחים, מכיוון שתצטרכו לספק פרטים טכניים רבים בכרטיס שלכם. זה לא מיועד לציבור הרחב.

האם ידעתם?

SecuriteInfo.com מספקת חתימות אנטי-ויראליות נוספות עבור האנטי-וירוס ClamAV. דבר זה משפר משמעותית את זיהוי הנוזקות והספאם.


הערה: ClamAV הוא סימן רשום של Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...