Descriveremo e risolveremo gli errori più comuni che si verificano durante l'utilizzo dell'antivirus ClamAV (clamscan, clamdscan e freshclam).
Gli errori di compilazione di ClamAV a partire dai suoi sorgenti non sono trattati qui.

clamdscan "Can't open file or directory ERROR"

Quando si eseguono scansioni di file o directory, è possibile che alcuni di essi generino questo errore. I file corrispondenti quindi non vengono scansionati e sfuggono al controllo della presenza di malware.
Questo può essere causato dai permessi delle directory o dei file, pertanto è necessario verificare che clamdscan abbia i permessi di lettura e scrittura su queste directory e file.
Ma può anche essere causato da AppArmor. La soluzione è mettere clamd nella modalità "complain" di AppArmor. Ecco la soluzione per Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Per correggere questo errore, puoi provare una delle seguenti tre soluzioni:

• Impostare i file e le directory scansionate con permessi 666: chmod 666 *
• Usare clamdscan con l'opzione --fdpass: clamdscan --fdpass
• Usare clamdscan con l'opzione --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" nei log di freshclam

Quando appare questo messaggio di errore, significa che non riesci a scaricare i database delle firme dell'antivirus.
Questo messaggio corrisponde a una versione precedente alla 0.102 di ClamAV.
A partire dalla versione 0.102, il codice della parte di rete di freshclam è stato radicalmente cambiato. Di conseguenza, per risolvere questo errore, è necessario aggiornare la tua versione di ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" e "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" nei log di freshclam

Questo messaggio indica l'impossibilità di connettersi ai server di ClamAV per scaricare i database delle firme dell'antivirus.

• Il tuo server potrebbe avere un problema di connessione a Internet.
• Potresti utilizzare un proxy (trasparente o meno). Freshclam preferisce una connessione diretta ai server di ClamAV e supporta molto male le connessioni tramite Proxy, specialmente se il Proxy modifica le proprietà della connessione HTTP(S), ad esempio cambiando lo User-Agent.
• Potresti utilizzare una versione molto vecchia dell'antivirus ClamAV, e in tal caso è fondamentale aggiornarlo.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" nei log di freshclam

Non riesci a scaricare i database delle firme dell'antivirus.
È possibile che il file mirrors.dat sia saturo. Questo file serve a inserire in blacklist i server mirror di ClamAV che hanno errori. Se hai avuto una disconnessione a Internet, è possibile che freshclam abbia inserito in blacklist tutti i mirror e che non ce ne siano più disponibili.
La soluzione è quindi eliminare questo file (ad esempio /var/lib/clamav/mirrors.dat per Debian) e riavviare freshclam.

Da notare che a partire dalle versioni 0.100 questo problema non esiste più. Quindi, se vedi questo tipo di errore, è importante aggiornare ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" nei log di freshclam

Non riesci ad aggiornare i database delle firme dell'antivirus e appare questo messaggio.
È possibile che il tuo computer non sia sincronizzato correttamente. Aggiorna la data e l'ora tramite NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

È possibile che tu abbia 2 versioni diverse di libclamav installate nel tuo sistema. Queste possono essere 2 versioni fornite dal tuo sistema operativo. Basta quindi rimuovere la versione più vecchia. Potrebbe anche trattarsi di una combinazione tra un'installazione da sorgenti di ClamAV e una versione fornita dal sistema operativo. È importante assicurarsi che sia installata una sola versione di libclamav nel sistema.

"LibClamAV Error: yyerror()" e "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV supporta le firme antivirali nel formato YARA. Tuttavia, il motore di interpretazione Yara utilizzato è specifico e interno a ClamAV. Questo motore Yara non è compatibile al 100% con l'interprete ufficiale Yara.
Pertanto, alcune regole YARA potrebbero non funzionare correttamente con ClamAV.
Per risolvere questo problema:

• Riscrivi la regola YARA che causa il problema per renderla compatibile con ClamAV.
• Oppure spera che, in futuro, il motore Yara di ClamAV venga migliorato.

Gli errori "LibClamAV Error" come ad esempio "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" durante l'uso di ClamAV.

Questi errori sono molto specifici e potrebbero indicare un problema nella scansione dei dati gestiti in modo errato da ClamAV. Consigliamo di riportare queste informazioni ai team di sviluppo di ClamAV su Github ufficiale.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" e "Can't allocate memory ERROR" durante l'uso di ClamAV

Questo messaggio di errore indica generalmente una carenza di memoria RAM durante una scansione. Quindi:

• O non hai abbastanza memoria, sarebbe utile aumentare la memoria RAM del tuo server o VPS.
• O stai cercando di scansionare un oggetto troppo grande. Per evitare questo, imposta limiti sulla dimensione degli oggetti da scansionare: --max-filesize o --max-scansize nella linea di comando
• O stai scansionando file o directory di sistema, come ad esempio la directory /proc su Linux. Questo è vietato, non farlo.

"Segmentation fault (core dumped)" durante l'uso di ClamAV

Questo messaggio di errore è sicuramente il più importante di tutti. Indica un crash dell'antivirus così grave che il sistema operativo ha interrotto il processo di ClamAV.

Tuttavia, il messaggio è troppo generico e può essere causato da molteplici fattori, come ad esempio la configurazione del sistema operativo, le risorse disponibili (RAM) o l'oggetto che stai cercando di scansionare con ClamAV (troppo grande, o un file di sistema come quello di /proc, ad esempio).

Non è quindi possibile determinare la causa esatta di questo crash e la soluzione migliore è aprire un ticket di bug per il team di sviluppo di ClamAV su Github ufficiale.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket ricevuto da systemd

Il demone ClamAV è in esecuzione, ma la porta TCP 3310 non è aperta: il comando "lsof -i|grep clamd" non restituisce nulla.
Al momento dell'avvio di clamd, appare il seguente messaggio di errore: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

La soluzione è creare la directory /etc/systemd/system/clamav-daemon.socket.d/ e mettere al suo interno il file /etc/systemd/system/clamav-daemon.socket.d/extend.conf :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Poi riavvia il tuo server.

La politica di fine vita (End-Of-Life o EOL) dell'antivirus ClamAV

Dal 15 dicembre 2024, solo le versioni 1.0.x, 1.3.x e 1.4.x dell'antivirus ClamAV sono supportate e mantenute.
Se hai una versione precedente, ClamAV non dovrebbe più funzionare poiché le recenti basi di dati delle firme non sono più compatibili con queste versioni obsolete. Quindi o utilizzi le nostre firme aggiuntive per ClamAV, almeno nella versione Professionale, o aggiorni urgentemente il tuo antivirus ClamAV. Oppure entrambe le cose, sarebbe ancora meglio!
Per approfondire, ti consiglio di leggere il nostro articolo sulle vecchie versioni dell'antivirus ClamAV.

L'antivirus ClamWin non funziona più

ClamWin è una versione per Windows dell'antivirus ClamAV realizzata da una terza parte. Pertanto, ClamWin non è supportato né sviluppato dai team di Cisco / Sourcefire. Sfortunatamente, questo antivirus per Windows non è più sviluppato dal suo proprietario e l'ultima versione disponibile è la versione 0.103.2.1. Come visto nel paragrafo precedente, le versioni 0.103 non sono più supportate da ClamAV, quindi ClamAV ha disabilitato il download delle basi di dati delle firme per ClamWin. Questo lo rende completamente inefficace, quindi sconsigliamo l'uso di ClamWin in un ambiente aziendale o di produzione.

La soluzione che consigliamo è di scaricare la versione ufficiale di ClamAV per Windows. Sono disponibili una versione a 32 bit e una a 64 bit. Certo, questa versione non ha un'interfaccia grafica GUI, ma la linea di comando di ClamAV non è molto complicata e alcuni semplici file BAT saranno necessari per automatizzare la scansione del tuo disco rigido.

Esiste anche un porting non ufficiale dell'antivirus ClamAV per Windows che è interessante perché funziona con versioni di Windows molto vecchie (WinNT e Windows 98!). Ma rimane una soluzione a linea di comando, senza interfaccia grafica.

Errore 426 con le firme di SecuriteInfo.com

Se ottieni un errore 426 durante l'uso di freshclam per scaricare le nostre firme antivirali, significa che hai un account gratuito e un antivirus ClamAV obsoleto.

La soluzione consiste nel fare una delle seguenti cose: aggiornare la tua installazione di ClamAV, oppure scegliere un abbonamento "Professionale" per scaricare le nostre firme. Oppure fare entrambe le cose per migliorare notevolmente il tasso di rilevamento dei malware nella tua installazione.

Non riesco a scaricare securiteinfoold.hdb, oppure ricevo errori 'nonblock_recv: recv timing out (30 secs)' o 'Download failed (28) ... Message: Timeout was reached'

• Per ClamAV versione inferiore a 0.102.2, aggiungi "ReceiveTimeout 2400" al tuo file freshclam.conf e riavvia il demone freshclam.


• Per ClamAV 0.102.2 e superiori, rimuovi ReceiveTimeout dal tuo file freshclam.conf e riavvia il demone freshclam.

Aggiornare la tua versione di ClamAV

Come puoi vedere, la maggior parte dei problemi si risolve aggiornando l'antivirus ClamAV all'ultima versione disponibile. Esistono diversi metodi per farlo, sta a te scegliere quello più adatto al tuo ambiente.

• Se hai ricompilato ClamAV a partire dalle sue sorgenti, basta prendere l'ultima versione dei file sorgenti di ClamAV e ricompilarlo nel tuo ambiente. Fai attenzione però alla versione del tuo sistema operativo: se stai utilizzando un sistema operativo troppo vecchio, potrebbe essere che l'ultima versione di ClamAV provochi errori di compilazione.


• Se hai una versione eseguibile di ClamAV, come ad esempio con ClamAV per Windows, basta installare il pacchetto contenente la nuova versione dell'eseguibile. Questa è la soluzione più semplice!


• Se è il tuo sistema operativo a fornirti l'antivirus ClamAV, come accade per la maggior parte degli ambienti Linux (Ubuntu, Debian, Red Hat, CentOS...), allora è imperativo aggiornare il sistema operativo. Se questa operazione non è possibile per motivi di compatibilità, ti consigliamo di rimuovere il pacchetto ClamAV dal tuo sistema operativo e installare e ricompilare ClamAV a partire dalle sorgenti. Ma come visto in precedenza, se il sistema operativo è troppo vecchio, ClamAV potrebbe non compilarsi.

Per ulteriori dettagli, ti consigliamo la lettura del nostro articolo Che rischi corri a usare una vecchia versione di ClamAV?

Il supporto SecuriteInfo.com

Se hai esigenze specifiche relative a ClamAV, come ad esempio un contratto di manutenzione, supporto per la compilazione o monitoraggio tecnologico, non esitare a contattarci e spiegarci le tue necessità. Saremo felici di rispondere alle tue esigenze di protezione antivirale con ClamAV.

Il supporto ufficiale di ClamAV

Se ricevi altri messaggi di errore o se desideri un supporto diretto con i team di sviluppo di ClamAV, hai due opzioni:

• Puoi iscriverti alla lista di distribuzione ufficiale (solo in inglese) e inviare la tua domanda via email. La comunità e alcuni sviluppatori di ClamAV ti risponderanno su questa lista.
• Oppure puoi aprire un ticket sul loro GitHub. Tuttavia, per fare ciò devi essere uno sviluppatore, poiché dovrai fornire molti dettagli tecnici nel tuo ticket. Questo non è destinato al grande pubblico.

Lo sapevi?

SecuriteInfo.com mette a disposizione firme antivirali aggiuntive per ClamAV. Questo permette di migliorare notevolmente la rilevazione di malware e spam.


Nota: ClamAV è un marchio registrato da Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...