A leggyakoribb ClamAV vírusirtó problémák megoldása

Leírjuk és megoldjuk a leggyakoribb hibákat, amelyek a ClamAV vírusirtó (clamscan, clamdscan és freshclam) használata során lépnek fel.
A ClamAV forrásból történő lefordításának hibái nem kerülnek tárgyalásra itt.

clamdscan "Can't open file or directory ERROR"

Amikor fájlokat vagy könyvtárakat vizsgál, előfordulhat, hogy néhányuk ezt a hibát eredményezi. A megfelelő fájlokat nem vizsgálják meg, és ezáltal elkerülik a malware-ek jelenlétének ellenőrzését.
Ez származhat a könyvtárak vagy fájlok jogaitól, ezért ellenőrizni kell, hogy a clamdscan rendelkezik-e olvasási és írási jogokkal ezeken a mappákon és fájlokon.
De előfordulhat, hogy az apparom is okozza a problémát. A megoldás az, hogy a clamd-t az apparom "complain" módjában kell futtatni. Íme a megoldás Debian számára:


apt-get install apparmor-utils

aa-complain /usr/sbin/clamd

clamdscan "File path check failure: Permission denied. ERROR"

A hiba javításához próbálja ki az alábbi 3 megoldást:

Állítsa a vizsgált fájlok és könyvtárak jogosultságát 666-ra: chmod 666 *
Használja a clamdscan-t --fdpass opcióval: clamdscan --fdpass
Használja a clamdscan-t --stream opcióval: clamdscan --stream

"Ignoring mirror (due to previous errors)" a freshclam naplójában

Amikor ez a hibaüzenet megjelenik, az azt jelenti, hogy nem sikerült letölteni a vírusirtó aláírási adatbázisait.
Ez az üzenet a ClamAV 0.102 előtti verziójához tartozik.
A 0.102-es verziótól kezdődően a freshclam hálózati kódját radikálisan megváltoztatták. Ezért annak megoldásához, hogy kijavítsuk ezt a hibát, frissítenie kell a ClamAV verzióját.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" és "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" a freshclam naplójában

Ez az üzenet azt jelzi, hogy nem sikerült csatlakozni a ClamAV szervereihez a vírusirtó aláírási adatbázisainak letöltéséhez.

Lehet, hogy a szervere nem képes csatlakozni az internethez.
Lehet, hogy proxy-t használ (átlátszó vagy nem). A freshclam inkább közvetlen kapcsolatot preferál a ClamAV szervereivel, és nem kezeli jól a proxy-k használatát. Különösen akkor, ha a proxy módosítja a HTTP(S) kapcsolat tulajdonságait, például a User-Agent változtatásával.
Lehet, hogy egy nagyon régi verziót használ a ClamAV vírusirtóból, és sürgősen frissíteni kell azt.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" a freshclam naplójában

Nem sikerült letölteni a vírusirtó aláírási adatbázisait.
Lehet, hogy a mirrors.dat fájl telítődött. Ez a fájl arra szolgál, hogy feketelistázza azokat a ClamAV tükröző szervereket, amelyek hibát jeleztek. Ha internetkapcsolati problémája volt, előfordulhat, hogy a freshclam feketelistázta az összes tükröző szervert, és egyik sem elérhető.
A megoldás tehát az, hogy törli ezt a fájlt (például /var/lib/clamav/mirrors.dat Debian esetén), majd újraindítja a freshclam-ot.

Megjegyzendő, hogy a 0.100-es verziók óta ez a probléma már nem létezik. Tehát ha ilyen típusú hibát észlel, akkor fontos, hogy frissítse a ClamAV-t.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" a freshclam naplójában

Nem sikerült frissíteni a vírusirtó aláírási adatbázisait, és megjelenik ez az üzenet.
Lehet, hogy az Ön számítógépe nincs megfelelően beállítva. Frissítse a dátumot és az időt NTP-vel.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Lehet, hogy két különböző verziójú libclamav van telepítve a rendszerén. Ez lehet két verzió, amelyet az operációs rendszer biztosít. Ebben az esetben egyszerűen törölje a régebbi verziót. Előfordulhat, hogy a ClamAV forráskódú telepítése és az operációs rendszer által biztosított verzió keveréke. Mindig ügyeljen arra, hogy csak egy verzió legyen telepítve a libclamav-ból a rendszerén.

"LibClamAV Error: yyerror()" és "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

A ClamAV támogatja a YARA formátumú antivírus aláírásokat. Azonban a Yara értelmező, amelyet a ClamAV használ, specifikus és belső a ClamAV számára. Ez a Yara motor nem teljesen kompatibilis az alapértelmezett Yara értelmezővel.
Ezért néhány YARA szabály nem működik teljes mértékben a ClamAV-val.
A probléma megoldásához:

Vagy átírja a problémás YARA szabályt, hogy kompatibilis legyen a ClamAV-val.
Vagy reméli, hogy a ClamAV Yara motorját a közeljövőben fejlesztik.

A "LibClamAV Error" hibák, mint például a "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" a ClamAV használata során.

Ezek a hibák nagyon specifikusak, és arra utalhatnak, hogy a ClamAV hibásan kezeli az adatokat a vizsgálat során. Ezért ajánlott az információkat a ClamAV fejlesztői csapatához továbbítani a hivatalos Github oldalon.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" és "Can't allocate memory ERROR" a ClamAV használata során

Ez a hibaüzenet általában memóriahiányt jelez a vizsgálat során. Tehát:

Lehet, hogy nincs elég memória, érdemes lenne növelni a szerver vagy VPS RAM-ját.
Lehet, hogy túl nagy objektumot vizsgál. Ezt elkerülheti, ha korlátozza a vizsgált objektumok méretét: --max-filesize vagy --max-scansize parancssori opcióval.
Lehet, hogy rendszermappákat vagy fájlokat vizsgál, például a /proc mappát Linux alatt. Ezt nem ajánlott megtenni, ne csinálja.

"Segmentation fault (core dumped)" a ClamAV használata során

Ez a hibaüzenet valószínűleg a legfontosabb mind közül. Ez azt jelzi, hogy a vírusirtó összeomlott, és a rendszer operációs rendszer befejezte a ClamAV folyamatot.

De az üzenet túl általános, és számos lehetséges okra utal, mint például az operációs rendszer konfigurációja, a rendelkezésre álló erőforrások (RAM) vagy az a fájl, amelyet a ClamAV-val próbál megvizsgálni (túl nagy, vagy például rendszerfájl a /proc mappában).

Ezért nem lehet pontosan meghatározni az összeomlás okát, és a legjobb megoldás az, hogy hibajegyet nyit a ClamAV fejlesztői csapata számára a hivatalos Github oldalon.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

A ClamAV démon fut, de a TCP 3310 port nincs megnyitva: a "lsof -i|grep clamd" parancs nem ad vissza semmit.
A clamd elindításakor a következő hibaüzenet jelenik meg: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

A megoldás az, hogy létrehozza a /etc/systemd/system/clamav-daemon.socket.d/ könyvtárat, majd belehelyezi a /etc/systemd/system/clamav-daemon.socket.d/extend.conf fájlt:


cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf

[Socket]

SocketUser=clamav

ListenStream=3310

Ezután indítsa újra a szervert.

A ClamAV vírusirtó életciklus politikája (End-Of-Life vagy EOL)

2024. december 15-e óta csak a ClamAV 1.0.x, 1.3.x és 1.4.x verziók támogatottak és karbantartottak.
Ha régebbi verziója van, a ClamAV már nem működik, mivel az új aláírási adatbázisok már nem kompatibilisek ezekkel a régi verziókkal. Tehát vagy használja a ClamAV kiegészítő aláírásainkat, minimum professzionális verzióban, vagy sürgősen frissítse a ClamAV vírusirtóját. Vagy mindkettőt, az még jobb!
Továbblépéshez javasoljuk, hogy olvassa el cikkünket a régi verziók használatáról a ClamAV vírusirtóval kapcsolatban.

A ClamWin vírusirtó nem működik

ClamWin a ClamAV Windows verziója, de harmadik fél által készített port. Ezért a ClamWin-t nem a Cisco / Sourcefire fejlesztői csapata támogatja és fejleszti. Sajnos ez a Windows-os vírusirtó már nem kerül fejlesztésre a tulajdonosa által, és az utolsó elérhető verzió a 0.103.2.1-es verzió. Ahogy az előző bekezdésben említve volt, a 0.103 verziók már nem támogatottak a ClamAV által, ezért a ClamAV letiltotta a aláírási adatbázisok letöltését a ClamWin számára. Ezáltal teljesen hatástalanná válik, és nem ajánlott a ClamWin használata vállalati vagy termelési környezetben.

A javasolt megoldás az, hogy letölti a hivatalos ClamAV verziót Windowsra. Két verzió érhető el: 32 bites és 64 bites. Igaz, hogy ez a verzió nem rendelkezik grafikus felülettel (GUI), de a ClamAV parancssora nem túl bonyolult, és néhány egyszerű BAT fájlra lesz szükség a merevlemezének automatikus vizsgálatához.

Létezik egy nem hivatalos port a ClamAV vírusirtóhoz Windowsra, amely érdekes, mert nagyon régi Windows verziókkal is működik (WinNT és Windows 98!). De ez is csak parancssori felületet biztosít, és nincs grafikus felület.

426-os hiba a SecuriteInfo.com aláírásokkal kapcsolatban

Ha 426-os hibát kap a freshclam használata közben a aláírásaink letöltésekor, akkor valószínűleg ingyenes fiókot használ, és elavult a ClamAV vírusirtója.

A megoldás az, hogy frissíti a ClamAV telepítését, vagy válassza a "Professzionális" előfizetést az aláírásaink letöltéséhez. Vagy tegye mindkettőt, hogy jelentősen javítja a kártékony programok felismerését a telepítésében.

Nem tudom letölteni a securiteinfoold.hdb fájlt, vagy 'nonblock_recv: recv timing out (30 secs)' vagy 'Download failed (28) ... Message: Timeout was reached' hibákat kapok

Ha a ClamAV verziója régebbi, mint a 0.102.2, adja hozzá a "ReceiveTimeout 2400" sort a freshclam.conf fájlhoz, majd indítsa újra a freshclam démonját.

Ha a ClamAV 0.102.2 vagy újabb verzióját használja, törölje a ReceiveTimeout sort a freshclam.conf fájlból, és indítsa újra a freshclam démonját.

Frissítse a ClamAV verzióját

Ahogy látja, a legtöbb probléma a ClamAV vírusirtó legújabb verziójának telepítésével megoldódik. Többféle módszer is létezik erre, és Ön választhatja ki azt, amelyik legjobban illik a környezetéhez.

Ha a ClamAV-t a forráskódból fordította, akkor csak le kell töltenie a legújabb ClamAV forrásfájlokat, és újra kell fordítania őket a környezetében. Vigyázzon azonban az operációs rendszer verziójára: ha túl régi operációs rendszert használ, előfordulhat, hogy a legújabb ClamAV verzió hibát okoz a fordítás során.

Ha van egy ClamAV végrehajtható verziója, például a ClamAV Windows verziója, akkor egyszerűen telepítenie kell a csomagot, amely tartalmazza az új verziót. Ez a legegyszerűbb megoldás!

Ha az operációs rendszere biztosítja a ClamAV vírusirtót, ahogyan az a legtöbb Linux környezet (Ubuntu, Debian, Red Hat, CentOS...) esetében is van, akkor elengedhetetlen a rendszer operációs rendszerének frissítése. Ha ez a frissítés lehetetlen, mert túl nagy terhet jelent, akkor javasoljuk, hogy törölje a ClamAV csomagot az operációs rendszeréből, és telepítse újra, majd fordítsa le a ClamAV-t a forrásból. De ahogy már említettük, ha az operációs rendszere túl régi, a ClamAV nem biztos, hogy újra lefordítható.

Továbblépéshez javasoljuk, hogy olvassa el cikkünket Mi a kockázata a régi verziók használatának a ClamAV vírusirtóval?

A SecuriteInfo.com támogatás

Ha speciális igényei vannak a ClamAV-val kapcsolatban, például karbantartási szerződés, fordítási támogatás vagy technológiai figyelés, ne habozzon kapcsolatba lépni velünk és ismertetni igényeit. Örömmel segítünk a ClamAV vírusirtóval kapcsolatos védelmi igényeinek kielégítésében.

A ClamAV hivatalos támogatás

Ha más hibákat kap, vagy közvetlen támogatást szeretne a ClamAV fejlesztői csapatától, két lehetősége van:

Vagy feliratkozik a hivatalos levelezőlistára (csak angolul), és e-mailben felteheti kérdését. A közösség és a ClamAV fejlesztői válaszolnak Önnek ezen a listán.
Vagy hibajegyet hoz létre a hivatalos Github oldalon. Ehhez fejlesztőnek kell lennie, mert sok technikai adatot kell biztosítania a jegyhez. Ez nem a nagyközönség számára szól.

Tudta?

A SecuriteInfo.com kiegészítő antivírus aláírásokat biztosít a ClamAV vírusirtóhoz. Ez jelentősen növeli a kártékony programok és spamek felismerését.

Megjegyzés: A ClamAV a Cisco bejegyzett védjegye.

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.