Mir wäerte déi meescht gemeinsame Feeler beschreiwen an léisen, déi bei der Benotzung vum Antivirus ClamAV (clamscan, clamdscan an freshclam) optrieden.
D'Feeler vun der Kompilatioun vun ClamAV aus senge Quelltexte ginn hei net behandelt.

clamdscan "Kann d'Datei oder Verzeechnes net opmaachen ERROR"

Wann Dir Dateie oder Verzeechnes scannt, kann et sinn, datt e puer dovun dës Feeler verursaachen. D'entspriechend Dateie ginn dann net gescannt an iwwerhëlt d'Verifizierung vun der Malware-Präsenz.
Dëst kann un de Rechter vun de Verzeechnes oder Dateie leeën, also musst Dir sécherstellen, datt clamdscan déi richteg Liese- an Schreifrechter fir dës Verzeechnes an Dateie huet.
Awer et kann och un AppArmor leeën. D'Léisung ass, clamd an den "complain" Modus vum AppArmor ze setzen. Hei ass d'Léisung fir Debian :

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "Dateipfad-Kontrollfehler: Erlaabnis verweigert. ERROR"

Fir dëse Feeler ze korrigéieren, kënnt Dir déi 3 folgend Léisunge probéieren :

• Setzt d'Rechter vun de gescannten Dateie an Verzeechnes op 666: chmod 666 *
• Benotzt clamdscan mat der Optioun --fdpass : clamdscan --fdpass
• Benotzt clamdscan mat der Optioun --stream : clamdscan --stream

"Mirror ignoréieren (wéinst virdrunen Feeler)" an den logs vu freshclam

Wann dës Feeler-Meldung optrëtt, heescht et, datt Dir net fäeg sidd, d'Virus-Signatur-Dateien vum Antivirus erofzelueden.
Dës Meldung entsprécht enger Versioun virdrun vun ClamAV (virdrun 0.102).
Ab der Versioun 0.102 gouf de Code fir d'Netzdeel vun freshclam radikal geännert. Fir dëse Feeler ze léisen, ass et noutwendeg, Är Versioun vum ClamAV ze aktualiséieren.

"nonblock_connect: connect(): fd=5 errno=101: Netzwierk net erreechbar" an "WARNING: getpatch: Kann d'daily-xxx.cdiff vun db.local.clamav.net eroflueden" an den logs vu freshclam

Dës Meldung weist op eng Unfäegkeet hin, sech mat den ClamAV Serveren ze verbannen fir d'Virus-Signatur-Dateien erofzelueden.

• Entweder huet Äre Server en Internet-Verbindungsproblem.
• Entweder benotzt Dir en Proxy (transparent oder net). Freshclam bevorzugt eng direkt Verbindung mat de ClamAV Serveren a ënnerstëtzt d'Verbindungen iwwer Proxy ganz schlecht. Besonnesch wann de Proxy d'HTTP(S) Verbindungsproperties ännert, zum Beispill andeems de User-Agent geännert gëtt.
• Entweder benotzt Dir eng ganz al Versioun vum ClamAV, a et ass wichteg et ze aktualiséieren.

"WARNING: Kann de main.cvd Header net liesen vun db.local.clamav.net (IP: )" an den logs vu freshclam

Dir kënnt net d'Virus-Signatur-Dateien vum Antivirus eroflueden.
Et kann sinn, datt d'Datei mirrors.dat iwwerfëllt ass. Dës Datei gëtt benotzt fir Servere vun ClamAV ze blacklisten, déi eng Feeler hunn. Wann Dir eng Internet-Disconnectioun hat, ass et méiglech, datt freshclam all d'Serveren geblacklist huet an et kee méi verfügbar ass.
D'Léisung ass, dës Datei ze läschen (z. B. /var/lib/clamav/mirrors.dat fir Debian) an freshclam nach eng Kéier ausféieren.

Et ass wichteg ze bemierken, datt dëse Problem zënter Versioune 0.100 net méi existéiert. Wann Dir dëse Typ vu Feeler gesitt, ass et wichteg ClamAV ze aktualiséieren.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" an den logs vu freshclam

Dir kënnt d'Virus-Signatur-Datenbanken net aktualiséieren an dës Meldung erscheint.
Et kann sinn, datt Äre Computer net déi richteg Zäit huet. Setzt d'Datum an d'Zäit iwwer NTP op.

"ERROR: Dëst Tool brauch libclamav mat Funktiounsniveau XXX oder méi héich (aktuelle f-level: XXX)"

Et kann sinn, datt Dir 2 verschidde Versiounen vun libclamav op Ärem System installéiert hutt. Dëst kann 2 Versiounen sinn, déi vum Ärem Betribssystem geliwwert ginn. Dir musst just déi al Versioun löschen. Et kann och eng Mëschung vun enger Installatioun duerch ClamAV Quellcode an enger Versioun vum Betribssystem sinn. Et ass wichteg, nëmmen eng Versioun vu libclamav op Ärem System installéiert ze hunn.

"LibClamAV Error: yyerror()" an "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV ënnerstëtzt Antivirus-Signaturen am YARA-Format. Awer de YARA Interpretator, deen benotzt gëtt, ass spezifesch an intern bei ClamAV. Dësen YARA-Interpretator ass net 100% kompatibel mam offiziellen YARA-Interpretator.
Dofir funktionéieren net all YARA-Regelen komplett mat ClamAV.
Fir dëse Problem ze léisen :

• Entweder schreift Dir d'YARA-Regel, déi Problem mécht, ëm fir se kompatibel mat ClamAV ze maachen.
• Entweder wëllt Dir hoffen, datt de YARA-Interpretator bei ClamAV an der Zukunft verbessert gëtt.

Feeler wéi "LibClamAV Error" wéi zum Beispill "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" bei der Benotzung vum ClamAV.

Dës Feeler sinn ganz spezifesch a kënnen e Problem beim Scanne vu schlecht verwalteten Dateie bei ClamAV opdecken. Mir recommandéieren, dës Informatioun un d'Entwécklungsteam vun ClamAV um offiziellen Github weiderzeginn.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" an "Can't allocate memory ERROR" bei der Benotzung vum ClamAV

Dës Feeler-Meldung weist normalerweis op eng Mënsch u RAM bei engem Scan. Also :

• Entweder hutt Dir net genuch RAM, et géif gutt sinn, de RAM op Ärem Server oder VPS ze erhéijen.
• Entweder sidd Dir am Scanne vun engem ze grousse Objet. Fir dëst ze vermeiden, setzt Limitte fir d'Gréisst vun den Dateie, déi gescannt ginn: --max-filesize oder --max-scansize um Kommandozeil.
• Entweder scanne Dir System-Dateien oder Verzeechnes, wéi zum Beispill de /proc Verzeechnes ënner Linux. Dëst ass verbueden, maachen net.

"Segmentation fault (core dumped)" bei der Benotzung vum ClamAV

Dës Feeler-Meldung ass wahrscheinlech déi wichtegst. Si weist op en Crash vum Antivirus hin, deen esou schrecklech ass, datt de Betribssystem de ClamAV Prozess gestoppt huet.

Awer d'Meldung ass ze allgemeng an entsprécht villen méigleche Grënn, wéi z.B. d'Konfiguratioun vum Betribssystem, d'Verfügbarkeet vun Ressourcen (RAM) oder de Objet, deen Dir probéiert mat ClamAV ze scannen (ze grousse, oder System-Dateien wéi /proc zum Beispill).

Et ass also net méiglech fir déi genau Ursaach vum Crash ze bestëmmen, a déi bescht Léisung ass, en Bug-Ticket un d'Entwécklungsteam vun ClamAV op hirem offiziellen Github opzumachen.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

De ClamAV Dämon leeft, mee de TCP Port 3310 ass net opgemaach : de Befehl "lsof -i|grep clamd" gëtt näischt zréck.
Beim Start vum clamd erschéngt déi folgend Feeler-Meldung: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

D'Léisung ass, de Verzeechnes /etc/systemd/system/clamav-daemon.socket.d/ ze erstellen an de Fichier /etc/systemd/system/clamav-daemon.socket.d/extend.conf do anzefüügen :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Da musst de Server nach eng Kéier nees starten.

Die End-of-Life Politik (End-Of-Life oder EOL) vum Antivirus ClamAV

Zënter dem 15. Dezember 2024 sinn just d'Versiounen 1.0.x, 1.3.x an 1.4.x vum Antivirus ClamAV ënnerstëtzt an aktualiséiert.
Wann Dir eng al Versioun hutt, funktionnéiert ClamAV net méi, well d'aktuell Signaturdatenbanken net méi kompatibel mat dësen alen Versioune sinn. Also entweder benotzt Dir eis zousätzlech Signaturen fir ClamAV an der mindestens professioneller Versioun oder Dir aktualiséiert Ären ClamAV Antivirus. Oder am beschten, maacht der beides!
Fir méi doriwwer ze léieren, empfeele mir Iech eis Artikel iwwer al Versioune vum Antivirus ClamAV ze liesen.

De ClamWin Antivirus funktionnéiert net méi

ClamWin ass eng Windows- Portéierung vum Antivirus ClamAV, awer vun enger anerer Partei gemaach. Dofir gëtt ClamWin net vun de Cisco / Sourcefire-Entwécklungsteamë supportéiert oder entwéckelt. Leider gëtt dësen Antivirus fir Windows net méi vun sengem Besëtzer entwéckelt an seng lescht Versioun ass d'Versioun 0.103.2.1. Wéi am virdrëscht Paragraph gesin, ginn d'Versiounen 0.103 net méi vun ClamAV ënnerstëtzt, an domat huet ClamAV d'Versiounsdatenbanken fir ClamWin invalidéiert. Dëst mécht et komplett ineffektiv, sou datt et net empfohl gëtt, ClamWin fir d'Benotzung an Entreprisen oder an engem Produktiounsëmfeld ze benotzen.

D'Léisung, déi mir empfehlen, ass d'ofgëllte Versioun vu ClamAV fir Windows erofzelueden. Eng 32bit- an eng 64bit- Versioun sinn verfügbar. Si, dës Versioun huet keng grafesch Benotzeroberfläch (GUI), awer d'Command-Line vun ClamAV ass net sou komplizéiert, an e puer einfach BAT-Dateien gi gebraucht fir de Scan vun Ärem Festplack ze automatiséieren.

Et existéiert och eng net offiziell Portéierung vum ClamAV Antivirus fir Windows, déi interessant ass, well se och mat ganz ale Windows (WinNT an Windows 98) funktionnéiert! Awer et bleift e Command-Line-Tool, ouni grafesch Benotzeroberfläch.

Feeler 426 bei den Signaturen vu SecuriteInfo.com

Wann Dir eng Feeler 426 kritt wann Dir freshclam benotzt fir eis Antivirus-Signaturen erofzelueden, da hutt Dir en gratis Kont a eng veralteten ClamAV Antivirus Versioun.

D'Léisung ass entweder Är ClamAV-Installatioun ze aktualiséieren oder eng "Professionell" Abonnement ze wielen fir eis Signaturen erofzelueden. Oder maacht der beides fir déi Detektioun vu Malware wesentlech ze verbesseren.

Ich kann securiteinfoold.hdb net eroflueden, oder ech kréien Feeler 'nonblock_recv: recv timing out (30 secs)' oder 'Download failed (28) ... Message: Timeout was reached'

• Fir ClamAV virun 0.102.2, füügt "ReceiveTimeout 2400" zu Ärem freshclam.conf Datei a startet freshclam dämon nach eng Kéier.


• Fir ClamAV 0.102.2 oder méi, löscht "ReceiveTimeout" aus Ärem freshclam.conf a startet freshclam dämon nach eng Kéier.

Är ClamAV Versioun aktualiséieren

Wéi Dir gesitt, ginn déi meescht Problemer geléist andeems de ClamAV Antivirus op déi lescht bekannt Versioun aktualiséiert gëtt. Et ginn verschidde Methoden fir dëst ze maachen, wielt déi déi Ärem Ëmfeld entsprécht.

• Wann Dir ClamAV aus den Quellcode recompiled hutt, ass et einfach d'lescht Versioun vun den ClamAV Quellficheren ze huelen an se an Ärem Ëmfeld zréckzestellen. Gitt awer oppassen op d'Versioun vum Betribssystem: wann Dir en ze alen OS benotzt, kann et sinn datt d'lescht ClamAV Versioun Feeler bei der Kompilarung verursaacht.


• Wann Dir eng ausführbar Versioun vu ClamAV hutt, wéi zum Beispill mat ClamAV fir Windows, kënnt Dir einfach d'Paket eroflueden an déi nei Versioun vun der ausführbarer Datei installéieren. Dëst ass déi einfachst Léisung!


• Wann Äre Betribssystem de ClamAV Antivirus geliwwert huet, wéi dat fir déi meescht Linux Ëmfeld (Ubuntu, Debian, Red Hat, CentOS...) de Fall ass, da musst Dir Äre Betribssystem aktualiséieren. Wann dës Aktualiséierung onméiglech ass, wéinst ze grousse Beschränkungen, dann empfeele mir, de ClamAV-Paket vun Ärem OS ze läschen an ClamAV aus den Quellcode ze installéieren an zréckzestellen. Awer wéi virdrun gesin, wann Äre Betribssystem ze al ass, kann et sinn datt ClamAV net zréckkompiliert ka ginn.

Fir méi ze léieren, empfeele mir eis Artikel Wat risquéiert een fir eng al Versioun vum ClamAV Antivirus ze benotzen ?

De Support vun SecuriteInfo.com

Wann Dir spezifesch Bedierfnesser iwwer ClamAV hutt, wéi z.B. e Maintenanceléieren, Hëllef bei der Kompilatioun oder technologesch Observatioun, zéckt net eis z'erreechen a eis Är Bedierfnesser ze erklären. Mir si frou Är Bedierfnesser fir Antivirus Schutz mat ClamAV ze erfëllen.

De ClamAV Offiziellen Support

Wann Dir aner Feeler-Mëldungen hutt, oder wann Dir direkt Hëllef vum ClamAV Entwécklungsteam wëllt, hutt Dir zwou Méiglechkeeten :

• Entweder kënnt Dir Iech um offiziellen Mailingliste (ëmmer nëmmen op Englesch) ubidden an Är Fro per E-Mail stellen. D'Gemeinschaft an e puer Entwéckler vun ClamAV wäert Iech op där Lëscht äntweren.
• Entweder erstellt Dir e Ticket op hirem offiziellen Github. Awer dëst brauch entspriechend technesch Detailer, déi een als Entwéckler muss uginn. Et ass net fir de breede Public.

Wousst Dir ?

SecuriteInfo.com stellt zousätzlech Antivirus-Signaturen fir ClamAV zur Verfügung. Dëst erméiglecht en enormen Anstieg an der Detektioun vu Malware an Spams.


Note: ClamAV ass eng markéiert Mark vun Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...