Mes aprašysime ir išspręsime dažniausias klaidas, kurios atsiranda naudojant ClamAV antivirusą (clamscan, clamdscan ir freshclam).
ClamAV kompiliavimo klaidos iš šaltinių čia neaptariamos.

clamdscan "Can't open file or directory ERROR"

Kai skanuojate failus arba katalogus, kai kurie iš jų gali sukelti šią klaidą. Atitinkami failai nebus nuskenuoti ir bus praleisti tikrinant, ar yra kenkėjiškų programų.
Tai gali kilti dėl katalogų arba failų teisių, todėl turite patikrinti, ar clamdscan turi skaitymo ir rašymo teises šiuose kataloguose ir failuose.
Taip pat tai gali kilti dėl apparmor. Sprendimas yra įjungti clamd į "complain" režimą apparmor. Štai sprendimas Debian sistemai:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Norėdami išspręsti šią klaidą, galite išbandyti šiuos 3 sprendimus:

• Skenuojamus failus ir katalogus nustatyti su teisėmis 666: chmod 666 *
• Naudoti clamdscan su --fdpass parinktimi: clamdscan --fdpass
• Naudoti clamdscan su --stream parinktimi: clamdscan --stream

"Ignoring mirror (due to previous errors)" freshclam žurnaluose

Kai pasirodo ši klaida, tai reiškia, kad nepavyksta atsisiųsti antiviruso parašų duomenų bazių.
Šis pranešimas atitinka versiją senesnę nei ClamAV 0.102.
Nuo 0.102 versijos freshclam tinklo kodas buvo radikaliai pakeistas. Todėl norint išspręsti šią klaidą, būtina atnaujinti savo ClamAV versiją.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" ir "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" freshclam žurnaluose

Šis pranešimas rodo, kad nepavyksta prisijungti prie ClamAV serverių, kad atsisiųstume antiviruso parašų duomenų bazes.

• Jūsų serveris gali turėti interneto ryšio problemų.
• Galite naudoti proxy (transparentinį arba ne). Freshclam geriausiai veikia tiesioginiam prisijungimui prie ClamAV serverių ir labai prastai palaiko proxy ryšius. Ypač jei proxy keičia HTTP(S) ryšio savybes, pavyzdžiui, keičia User-Agent.
• Galite naudoti labai seną ClamAV versiją, ir ją būtina atnaujinti.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" freshclam žurnaluose

Nepavyksta atsisiųsti antiviruso parašų duomenų bazių.
Galbūt mirrors.dat failas yra užpildytas. Šis failas naudojamas ClamAV veidrodžių serverių, kurie turi klaidų, juodajai sąrašui sudaryti. Jei buvo interneto ryšio nutraukimas, gali būti, kad freshclam įtraukė visus veidrodžius į juodąjį sąrašą ir jų nebėra pasiekiamų.
Sprendimas yra pašalinti šį failą (pavyzdžiui, /var/lib/clamav/mirrors.dat Debian sistemoje) ir iš naujo paleisti freshclam.

Atkreipkite dėmesį, kad nuo 0.100 versijos ši problema nebeegzistuoja. Taigi, jei matote tokią klaidą, svarbu atnaujinti ClamAV versiją.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" freshclam žurnaluose

Nepavyksta atnaujinti antiviruso parašų duomenų bazių ir pasirodo ši klaida.
Galbūt jūsų kompiuteris nėra teisingai sinchronizuotas su laiku. Atlikite NTP atnaujinimą.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Galbūt turite įdiegtas dvi skirtingas libclamav versijas savo sistemoje. Tai gali būti dvi versijos, pateikiamos jūsų operacinės sistemos. Tiesiog pašalinkite senesnę versiją. Taip pat gali būti mišrus atvejis, kai ClamAV buvo įdiegtas iš šaltinio kodo, o kita versija pateikta su operacine sistema. Visada įsitikinkite, kad turite tik vieną libclamav versiją savo sistemoje.

"LibClamAV Error: yyerror()" ir "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV palaiko antivirusines parašų taisykles YARA formatu. Tačiau naudojama YARA interpretavimo variklis yra specifiškas ir vidinis ClamAV, todėl jis nėra 100% suderinamas su oficialiu YARA interpretu.
Dėl to kai kurios YARA taisyklės gali neveikti visiškai su ClamAV.
Norėdami išspręsti šią problemą:

• Galite perrašyti problematišką YARA taisyklę, kad ji būtų suderinama su ClamAV.
• Galite tikėtis, kad ateityje ClamAV YARA variklis bus patobulintas.

ClamAV naudojant, klaidos "LibClamAV Error", pvz., "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4"

Šios klaidos yra labai specifiškos ir gali rodyti problemas, susijusias su netinkamai tvarkomais duomenimis ClamAV. Rekomenduojame perduoti šią informaciją ClamAV kūrėjų komandai per oficialų Github.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" ir "Can't allocate memory ERROR" naudojant ClamAV

Ši klaida dažniausiai rodo, kad trūksta RAM atminties atliekant nuskaitymą. Todėl:

• Galbūt neturite pakankamai atminties, rekomenduojama padidinti serverio arba VPS RAM kiekį.
• Galbūt bandote nuskaityti per didelį objektą. Norėdami to išvengti, nustatykite apribojimus nuskaityjamų objektų dydžiui: --max-filesize arba --max-scansize komandų eilutėje.
• Galbūt skanuojate sistemos failus ar katalogus, pvz., /proc katalogą Linux sistemoje. Tai draudžiama, nedarykite to.

"Segmentation fault (core dumped)" naudojant ClamAV

Ši klaida greičiausiai yra svarbiausia. Ji rodo, kad antivirusas sugriuvo taip stipriai, kad operacinė sistema nutraukė ClamAV procesą.

Tačiau klaidos pranešimas yra pernelyg bendras ir gali būti dėl įvairių priežasčių, pvz., jūsų operacinės sistemos konfigūracijos, turimų išteklių (RAM) arba objekto, kurį bandote nuskaityti su ClamAV (per didelis arba sistemos failas, pvz., /proc).

Dėl šios klaidos nėra galima nustatyti tikslios priežasties, todėl geriausia būtų atidaryti klaidos bilietą ClamAV kūrėjams per jų oficialų Github.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV demonas veikia, tačiau TCP 3310 portu nesusikuria jungtis: komanda "lsof -i|grep clamd" nieko negrąžina.
Paleidus clamd, atsiranda klaidos pranešimas: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Sprendimas yra sukurti katalogą /etc/systemd/system/clamav-daemon.socket.d/ ir įdėti failą /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Tada perrestartuokite savo serverį.

ClamAV antiviruso End-Of-Life (EOL) politika

Nuo 2024 m. gruodžio 15 d. tik ClamAV antiviruso 1.0.x, 1.3.x ir 1.4.x versijos yra palaikomos ir atnaujinamos.
Jei turite senesnę versiją, ClamAV daugiau neveiks, nes naujos parašų duomenų bazės nesuderinamos su šiomis senomis versijomis. Todėl arba naudojate mūsų papildomas ClamAV parašų bazes, bent jau profesinę versiją, arba skubiai atnaujinate savo ClamAV antivirusą. Geriausia būtų padaryti abu!
Norėdami sužinoti daugiau, rekomenduojame perskaityti mūsų straipsnį apie senas ClamAV antiviruso versijas.

ClamWin antivirusas neveikia

ClamWin yra Windows portas ClamAV antiviruso, kurį sukūrė trečiosios šalys. Todėl ClamWin nėra palaikomas ir vystomas Cisco / Sourcefire komandų. Deja, šis Windows antivirusas nebėra vystomas jo kūrėjo, o paskutinė jo versija yra 0.103.2.1. Kaip minėta ankstesniame skyriuje, 0.103 versijos daugiau nėra palaikomos ClamAV, todėl ClamAV užblokavo parašų duomenų bazių atsisiuntimą ClamWin. Tai daro jį visiškai neveiksmingą, todėl nerekomenduojama naudoti ClamWin įmonėse ar gamybiniuose aplinkose.

Rekomenduojame atsisiųsti oficialią ClamAV versiją Windows. Yra 32 bitų ir 64 bitų versijos. Žinoma, ši versija neturi grafinės sąsajos (GUI), tačiau ClamAV komandų eilutė nėra sudėtinga, ir kelios paprastos BAT failai bus reikalingi jūsų kietojo disko nuskaitymo automatizavimui.

Taip pat yra neoficialus ClamAV Windows portavimas, kuris yra įdomus, nes veikia su labai senomis Windows versijomis (WinNT ir Windows 98!). Tačiau tai vis tiek yra tik komandų eilutė, ir nėra grafinės sąsajos.

426 klaida su SecuriteInfo.com parašais

Jei gaunate klaidą 426, naudodami freshclam atsisiųsti mūsų antivirusines parašų bazes, tai reiškia, kad turite nemokamą paskyrą ir pasenusią ClamAV versiją.

Sprendimas yra atnaujinti savo ClamAV įdiegimą arba pasirinkti "Profesinę" prenumeratą, kad galėtumėte atsisiųsti mūsų parašų bazes. Geriausia būtų atlikti abu veiksmus, kad ženkliai pagerintumėte kenkėjiškų programų aptikimą.

Negaliu atsisiųsti securiteinfoold.hdb arba gaunu klaidas 'nonblock_recv: recv timing out (30 secs)' arba 'Download failed (28) ... Message: Timeout was reached'

• ClamAV versijoms senesnėms nei 0.102.2, pridėkite "ReceiveTimeout 2400" į savo freshclam.conf failą ir perkraukite freshclam demoną.


• ClamAV 0.102.2 ir vėlesnėms versijoms, pašalinkite ReceiveTimeout iš savo freshclam.conf failo ir perkraukite freshclam demoną.

Atnaujinkite savo ClamAV versiją

Kaip matote, dauguma problemų sprendžiamos atnaujinus ClamAV antivirusą į naujausią žinomą versiją. Yra kelios metodikos tai padaryti, pasirinkite tą, kuri geriausiai atitinka jūsų aplinką.

• Jei perkompiliavote ClamAV iš šaltinio kodų, tiesiog paimkite naujausią ClamAV šaltinio kodų versiją ir perkompiliuokite ją savo aplinkoje. Tačiau atkreipkite dėmesį į savo operacinės sistemos versiją: jei naudojate labai seną operacinę sistemą, naujausia ClamAV versija gali sukelti kompilavimo klaidų.


• Jei turite vykdomąją ClamAV versiją, pavyzdžiui, su ClamAV Windows, tiesiog įdiekite paketą, kuriame yra naujausia vykdomosios versijos versija. Tai paprasčiausias sprendimas!


• Jei jūsų operacinė sistema pateikė ClamAV antivirusą, kaip dažniausiai yra su Linux aplinkomis (Ubuntu, Debian, Red Hat, CentOS...), tada būtina atnaujinti savo operacinę sistemą. Jei ši atnaujinimas yra per sudėtingas, tuomet rekomenduojame pašalinti ClamAV paketą iš jūsų operacinės sistemos ir įdiegti bei perkompiliuoti ClamAV iš šaltinio kodų. Tačiau, kaip minėta anksčiau, jei jūsų operacinė sistema per sena, ClamAV gali nepavykti perkompiliuoti.

Norėdami sužinoti daugiau, rekomenduojame perskaityti mūsų straipsnį Kas nutinka naudojant seną ClamAV versiją?

SecuriteInfo.com palaikymas

Jei turite specifinių poreikių, susijusių su ClamAV, pavyzdžiui, priežiūros sutartį, pagalbą su kompilavimu ar technologijų stebėseną, nedvejodami susisiekite su mumis ir paaiškinkite savo poreikius. Mes būsime laimingi galėdami atsakyti į jūsų antivirusinės apsaugos poreikius su ClamAV.

Oficialus ClamAV palaikymas

Jei turite kitų klaidos pranešimų arba norite tiesiogiai gauti pagalbą iš ClamAV kūrėjų komandų, turite dvi galimybes:

• Galite užsiregistruoti į oficialią el. pašto sąrašą (tik anglų kalba) ir tada užduoti savo klausimą el. paštu. Bendruomenė ir kai kurie ClamAV kūrėjai atsakys į jūsų klausimą šiame sąraše.
• Galite sukurti bilietą jų oficialiame Github. Tačiau norint tai padaryti, turite būti kūrėjas, nes jums reikės pateikti daug techninės informacijos apie savo bilietą. Tai nėra skirtas plačiajai visuomenei.

Ar žinote?

SecuriteInfo.com siūlo papildomas antivirusines parašų bazes ClamAV antivirusui. Tai ženkliai padidina kenkėjiškų programų ir šlamšto aptikimą.


Pastaba: ClamAV yra registruotas prekės ženklas, priklausantis Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...