Opišat ćemo i riješiti najčešće pogreške koje se pojavljuju prilikom korištenja antivirusnog programa ClamAV (clamscan, clamdscan i freshclam).
Pogreške u kompilaciji ClamAV-a iz izvornog koda neće biti obrađene ovdje.

clamdscan "Can't open file or directory ERROR"

Kada skenirate datoteke ili direktorije, moguće je da neki od njih uzrokuju ovu pogrešku. Odgovarajuće datoteke neće biti skenirane i time se zaobilazi provjera prisutnosti zlonamjernog softvera.
To može biti zbog prava na direktorije ili datoteke, stoga provjerite ima li clamdscan prava za čitanje i pisanje u tim direktorijima i datotekama.
Također, ovo može biti uzrokovano aparmorom. Rješenje je staviti clamd u "complain" način rada aparmora. Evo rješenja za Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Da biste ispravili ovu pogrešku, možete isprobati 3 sljedeća rješenja:

• Postavite datoteke i direktorije koji se skeniraju na prava 666: chmod 666 *
• Koristite clamdscan s opcijom --fdpass: clamdscan --fdpass
• Koristite clamdscan s opcijom --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" u logovima freshclam

Kada se pojavi ova poruka o pogrešci, to znači da ne možete preuzeti baze podataka potpisnih datoteka antivirusnog programa.
Ova poruka odnosi se na verziju stariju od ClamAV 0.102.
Od verzije 0.102, kod za mrežni dio freshclam-a je radikalno promijenjen. Stoga, da biste riješili ovu pogrešku, potrebno je ažurirati vašu verziju ClamAV-a.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" i "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" u logovima freshclam

Ova poruka označava nemogućnost povezivanja na ClamAV poslužitelje kako bi preuzeli baze podataka potpisnih datoteka antivirusnog programa.

• Možda vaš poslužitelj ima problem s povezivanjem na Internet.
• Možda koristite proxy (transparentni ili ne). Freshclam preferira izravnu vezu s ClamAV poslužiteljima i loše podržava veze putem proxyja. Pogotovo ako proxy mijenja svojstva HTTP(S) veze, na primjer, mijenjajući User-Agent.
• Možda koristite vrlo staru verziju antivirusnog programa ClamAV, i nužno je ažurirati ga.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" u logovima freshclam

Ne možete preuzeti baze podataka potpisnih datoteka antivirusnog programa.
Moguće je da je datoteka mirrors.dat zasićena. Ova datoteka služi za crnu listu ClamAV poslužitelja koji imaju grešku. Ako ste imali prekid veze s Internetom, moguće je da je freshclam stavio sve poslužitelje na crnu listu i da više nisu dostupni.
Rješenje je da obrišete ovu datoteku (na primjer /var/lib/clamav/mirrors.dat za Debian) i ponovo pokrenete freshclam.

Napomena: Od verzije 0.100 ovaj problem više ne postoji. Dakle, ako vidite ovu vrstu pogreške, važno je ažurirati ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" u logovima freshclam

Ne možete ažurirati baze podataka potpisnih datoteka antivirusnog programa i pojavljuje se ova poruka.
Moguće je da vaš računar nije u točnom vremenu. Ažurirajte datum i vrijeme putem NTP-a.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Moguće je da imate 2 različite verzije libclamav instalirane na vašem sustavu. To mogu biti 2 verzije koje pruža vaš operativni sustav. Dovoljno je ukloniti stariju verziju. To također može biti mješavina između instalacije ClamAV iz izvornog koda i verzije koju pruža operativni sustav. Uvijek treba paziti da na sustavu bude samo jedna verzija libclamav.

"LibClamAV Error: yyerror()" i "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV podržava antivirusne potpise u YARA formatu. No, korišteni Yara interpreter je specifičan i interno ugrađen u ClamAV. Ovaj Yara motor nije 100% kompatibilan s službenim Yara interpreterom.
Neke YARA pravila stoga neće potpuno funkcionirati s ClamAV.
Da biste riješili ovaj problem:

• Možete ponovno napisati YARA pravilo koje uzrokuje problem kako bi bilo kompatibilno s ClamAV-om.
• Možete se nadati da će Yara motor ClamAV-a biti poboljšan u budućnosti.

Pogreške "LibClamAV Error" poput "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" prilikom korištenja ClamAV-a.

Ove pogreške su vrlo specifične i mogu ukazivati na problem sa skeniranjem podataka koji nisu ispravno obrađeni od strane ClamAV-a. Preporučujemo da ove informacije prenesete razvojnim timovima ClamAV-a na službeni Github.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" i "Can't allocate memory ERROR" prilikom korištenja ClamAV-a

Ova poruka o pogrešci obično označava nedostatak RAM memorije prilikom skeniranja. Dakle:

• Možda nemate dovoljno memorije, bilo bi dobro povećati RAM memoriju vašeg poslužitelja ili VPS-a.
• Možda skenirate preveliki objekt. Da biste to izbjegli, postavite ograničenja veličine objekata koji se skeniraju: --max-filesize ili --max-scansize u naredbenom retku
• Možda skenirate datoteke ili sustavne direktorije, kao na primjer direktorij /proc na Linuxu. Ovo je zabranjeno, nemojte to raditi.

"Segmentation fault (core dumped)" prilikom korištenja ClamAV-a

Ova poruka o pogrešci vjerojatno je najvažnija od svih. Ona označava pad antivirusnog programa koji je toliko ozbiljan da je operativni sustav zaustavio ClamAV proces.

No, poruka je previše općenita i može biti uzrokovana mnogim mogućim razlozima, kao što su konfiguracija vašeg operativnog sustava, dostupni resursi (RAM) ili objekt koji pokušavate skenirati s ClamAV-om (prevelik, ili sustavna datoteka poput /proc na primjer).

Stoga nije moguće utvrditi točan uzrok ovog pada i najbolje rješenje je otvoriti bug ticket za razvojni tim ClamAV-a na njihovom službenom Githubu.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV demon je u radu, ali TCP port 3310 nije otvoren: naredba "lsof -i|grep clamd" ne vraća ništa.
Pri pokretanju clamd-a, pojavit će se sljedeća poruka o pogrešci: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Rješenje je stvoriti direktorij /etc/systemd/system/clamav-daemon.socket.d/ i u njega staviti datoteku /etc/systemd/system/clamav-daemon.socket.d/extend.conf :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Zatim ponovno pokrenite poslužitelj.

Politika kraja života (End-Of-Life ili EOL) antivirusnog programa ClamAV

Od 15. prosinca 2024. godine, samo verzije 1.0.x, 1.3.x i 1.4.x antivirusnog programa ClamAV se podržavaju i održavaju.
Ako imate stariju verziju, ClamAV više ne bi trebao raditi jer nove baze podataka potpisnih datoteka više nisu kompatibilne s tim starim verzijama. Dakle, ili koristite naše dodatne potpise za ClamAV, barem u profesionalnoj verziji, ili hitno ažurirajte svoj antivirus ClamAV. Ili najbolje, učinite oboje!
Za detaljnije informacije, preporučujem da pročitate naš članak o starim verzijama antivirusnog programa ClamAV.

Antivirus ClamWin više ne radi

ClamWin je port Windows verzije antivirusnog programa ClamAV, ali ga razvija treća strana. Dakle, ClamWin nije podržan niti razvijan od strane Cisco / Sourcefire timova. Nažalost, ovaj antivirus za Windows više nije razvijan od strane njegovog vlasnika, a posljednja dostupna verzija je 0.103.2.1. Kao što je spomenuto u prethodnom odjeljku, verzije 0.103 više nisu podržane od strane ClamAV-a, tako da je ClamAV onemogućio preuzimanje baza podataka potpisnih datoteka za ClamWin. To ga čini potpuno neučinkovitim, stoga nije preporučljivo koristiti ClamWin za poslovnu upotrebu ili u produkcijskom okruženju.

Rješenje koje preporučujemo je da preuzmete službenu verziju ClamAV-a za Windows. Dostupne su 32-bitna i 64-bitna verzija. Iako ova verzija nema grafičko sučelje GUI, naredbeni redak ClamAV-a nije previše kompliciran i nekoliko jednostavnih BAT datoteka bit će potrebno za automatizaciju skeniranja vašeg tvrdog diska.

Također postoji ne službeni port antivirusnog programa ClamAV za Windows, koji je zanimljiv jer radi na vrlo starim verzijama Windowsa (WinNT i Windows 98!). No, i dalje se radi o naredbenom retku, a nema grafičkog sučelja.

Pogreška 426 s potpisima SecuriteInfo.com

Ako prilikom korištenja freshclam-a za preuzimanje naših antivirusnih potpisa dobijete pogrešku 426, to znači da imate besplatan račun i zastarjeli antivirus ClamAV.

Rješenje je ili ažurirati vašu instalaciju ClamAV-a, ili odabrati "Profesionalnu" pretplatu za preuzimanje naših potpisa. Ili učiniti oboje kako biste znatno poboljšali detekciju malvera vašom instalacijom.

Ne mogu preuzeti securiteinfoold.hdb, ili imam pogreške 'nonblock_recv: recv timing out (30 secs)' ili 'Download failed (28) ... Message: Timeout was reached'

• Za ClamAV stariji od 0.102.2, dodajte "ReceiveTimeout 2400" u vaš freshclam.conf datoteku i ponovno pokrenite freshclam demon.


• Za ClamAV 0.102.2 i novije verzije, uklonite ReceiveTimeout iz vašeg freshclam.conf datoteke i ponovno pokrenite freshclam demon.

Ažuriranje vaše verzije ClamAV-a

Kao što vidite, većina problema može se riješiti ažuriranjem antivirusnog programa ClamAV na najnoviju poznatu verziju. Postoji nekoliko metoda za to, a vi birate onu koja odgovara vašem okruženju.

• Ako ste ponovno kompajlirali ClamAV iz izvornog koda, samo preuzmite najnoviju verziju izvornog koda ClamAV-a i ponovno ga kompajlirajte u svom okruženju. Ipak, obratite pažnju na verziju vašeg operativnog sustava: ako koristite vrlo staru verziju, postoji mogućnost da posljednja verzija ClamAV-a izazove pogreške prilikom kompilacije.


• Ako imate izvršnu verziju ClamAV-a, kao na primjer s ClamAV Windowsom, jednostavno instalirajte paket koji sadrži novu verziju izvršne datoteke. To je najjednostavnija opcija!


• Ako je vaš operativni sustav pružio antivirus ClamAV, kao što je slučaj s većinom Linux okruženja (Ubuntu, Debian, Red Hat, CentOS...), tada je nužno ažurirati vaš operativni sustav. Ako je to nemoguće zbog previše zahtjevnih uvjeta, tada savjetujemo uklanjanje ClamAV paketa iz vašeg operativnog sustava i instaliranje te ponovnu kompilaciju ClamAV-a iz izvornog koda. No, kao što je spomenuto, ako je vaš operativni sustav previše star, ClamAV možda neće moći ponovno kompilirati.

Za više informacija, preporučujemo čitanje našeg članka Koje rizike nosi korištenje stare verzije antivirusnog programa ClamAV?

Podrška SecuriteInfo.com

Ako imate specifične potrebe u vezi s ClamAV-om, kao što su ugovori o održavanju, podrška za kompilaciju ili tehnološki nadzor, slobodno kontaktirajte nas i objasnite svoje potrebe. Bit ćemo sretni odgovoriti na vaše potrebe za antivirusnom zaštitom pomoću ClamAV-a.

Službena podrška ClamAV-a

Ako imate druge poruke o pogreškama, ili želite izravnu podršku s razvojnim timovima ClamAV-a, imate dvije mogućnosti:

• Možete se prijaviti na službenu mailing listu (samo na engleskom) i postaviti svoje pitanje putem emaila. Zajednica i neki od ClamAV-ovih developera odgovorit će vam na ovoj listi.
• Možete otvoriti ticket na njihovom službenom Githubu. No, za to morate biti developer jer ćete morati pružiti mnogo tehničkih informacija u svom ticketu. Ovo nije za širu javnost.

Jeste li znali?

SecuriteInfo.com nudi dodatne antivirusne potpise za ClamAV. Ovo značajno poboljšava detekciju malvera i spama.


Napomena: ClamAV je registrirani zaštitni znak tvrtke Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...