Aprakstīsim un atrisināsim visbiežāk sastopamās kļūdas, kas rodas, izmantojot ClamAV antivīrusu (clamscan, clamdscan un freshclam).
ClamAV kompilēšanas kļūdas no tā avotiem netiks aplūkotas šeit.

clamdscan "Can't open file or directory ERROR"

Kad skenējat failus vai direktorijus, ir iespējams, ka daži no tiem izraisīs šo kļūdu. Attiecīgie faili netiks skenēti un netiks veikta ļaunprātīgas programmatūras klātbūtnes pārbaude.
Šī problēma var būt saistīta ar direktoriju vai failu atļaujām, tāpēc jums jāpārbauda, vai clamdscan ir lasīšanas un rakstīšanas atļaujas šiem direktorijiem un failiem.
Bet tas var arī būt saistīts ar AppArmor. Riski ir ievietot clamd režīmā "complain" AppArmor. Šeit ir risinājums Debian sistēmai:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Lai novērstu šo kļūdu, varat izmēģināt šādus 3 risinājumus:

• Iestatīt failus un direktorijus ar 666 tiesībām: chmod 666 *
• Izmantojiet clamdscan ar --fdpass opciju: clamdscan --fdpass
• Izmantojiet clamdscan ar --stream opciju: clamdscan --stream

"Ignoring mirror (due to previous errors)" freshclam žurnālos

Kad parādās šī kļūda, tas nozīmē, ka nevarat lejupielādēt antivīrusa parakstu datubāzes.
Šī ziņa attiecas uz versijām, kas ir vecākas par ClamAV 0.102.
Sākot ar versiju 0.102, freshclam tīkla kods tika būtiski mainīts. Tāpēc, lai novērstu šo kļūdu, ir nepieciešams atjaunināt jūsu ClamAV versiju.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" un "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" freshclam žurnālos

Šī ziņa norāda uz problēmām ar savienojumu ar ClamAV serveriem, lai lejupielādētu antivīrusa parakstu datubāzes.

• Vai nu jūsu serverim ir problēmas ar savienojumu ar internetu.
• Vai nu izmantojat starpniekserveri (caurspīdīgu vai ne). Freshclam dod priekšroku tiešajam savienojumam ar ClamAV serveriem un ļoti slikti strādā ar savienojumiem, kas iet caur Proxy. Jo īpaši, ja Proxy maina HTTP(S) savienojuma īpašības, piemēram, mainot lietotāja aģentu (User-Agent).
• Vai nu jūs izmantojat ļoti vecu ClamAV antivīrusa versiju, un ir svarīgi to atjaunināt.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" freshclam žurnālos

Jūs nevarat lejupielādēt antivīrusa parakstu datubāzes.
Iespējams, ka mirrors.dat fails ir piesātināts. Šis fails tiek izmantots, lai bloķētu ClamAV spoguļu serverus, kas ir kļūdaini. Ja jums bija interneta savienojuma pārtraukums, iespējams, ka freshclam ir bloķējis visus spoguļu serverus un vairs nav pieejami.
Risinājums ir izdzēst šo failu (piemēram, /var/lib/clamav/mirrors.dat Debian sistēmā) un restartēt freshclam.

Jāatzīmē, ka kopš 0.100 versijām šī problēma vairs neeksistē. Tāpēc, ja redzat šādu kļūdu, ir ļoti svarīgi atjaunināt ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" freshclam žurnālos

Jūs nevarat atjaunināt antivīrusa parakstu datubāzes, un parādās šī ziņa.
Iespējams, ka jūsu dators nav sinhronizēts ar pareizu laiku. Atjauniniet datumu un laiku, izmantojot NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Iespējams, ka jūsu sistēmā ir instalētas divas dažādas libclamav versijas. Tas varētu būt saistīts ar divām versijām, ko piedāvā jūsu operētājsistēma. Tādā gadījumā vienkārši dzēsiet vecāko versiju. Tas var arī būt jaukts gadījums, kad viena versija ir instalēta no ClamAV avotiem, bet otra – no operētājsistēmas. Ir svarīgi pārliecināties, ka sistēmā ir tikai viena libclamav versija.

"LibClamAV Error: yyerror()" un "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV atbalsta antivīrusa parakstus YARA formātā. Tomēr izmantotais Yara interpretators ir specifisks un iekšējs ClamAV. Šis Yara dzinējs nav 100% savietojams ar oficiālo Yara interpretatoru.
Tāpēc dažas YARA noteikumi nedarbojas pilnībā ar ClamAV.
Lai atrisinātu šo problēmu:

• Vai nu pārrakstiet problēmatisko YARA noteikumu, lai padarītu to savietojamu ar ClamAV.
• Vai nu ceriet, ka tuvākajā nākotnē ClamAV Yara dzinējs tiks uzlabots.

"LibClamAV Error" kļūdas, piemēram, "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4", lietojot ClamAV.

Šīs kļūdas ir ļoti specifiskas un var norādīt uz datu skenēšanas problēmām, kuras ClamAV nepareizi apstrādā. Tādēļ mēs iesakām ziņot par šo informāciju ClamAV izstrādātāju komandai, izmantojot oficiālo Github.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" un "Can't allocate memory ERROR" lietojot ClamAV

Šī kļūda parasti norāda uz atmiņas (RAM) trūkumu skenēšanas laikā. Tādēļ:

• Vai nu jums nav pietiekami daudz atmiņas, un būtu vēlams palielināt jūsu servera vai VPS RAM apjomu.
• Vai nu jūs skenējat pārāk lielu objektu. Lai to novērstu, ierobežojiet skenējamo objektu lielumu: izmantojiet --max-filesize vai --max-scansize komandrindā.
• Vai nu jūs skenējat sistēmas failus vai direktorijus, piemēram, /proc direktoriju Linux. Tas ir aizliegts, lūdzu, neveiciet to.

"Segmentation fault (core dumped)" lietojot ClamAV

Šī kļūda, iespējams, ir vissvarīgākā. Tā norāda uz antivīrusa avāriju, kas ir tik smaga, ka operētājsistēma ir pārtraukusi ClamAV procesu.

Tomēr šī ziņa ir pārāk vispārīga, un tā var rasties no dažādām iespējamām kļūdām, piemēram, operētājsistēmas konfigurācijas, pieejamajiem resursiem (RAM), vai objektu, ko mēģināt skenēt ar ClamAV (piemēram, pārāk liels vai sistēmas fails no /proc direktorija).

Tāpēc nav iespējams noteikt precīzu šo avāriju cēloni, un labākais risinājums ir atvērt kļūdu biļeti ClamAV izstrādātāju komandai, izmantojot viņu oficiālo Github.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV deamons darbojas, bet TCP ports 3310 nav atvērts: komanda "lsof -i|grep clamd" neko neatgriež.
Palaidot clamd, parādās šāda kļūda: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Risinājums ir izveidot direktoriju /etc/systemd/system/clamav-daemon.socket.d/ un tajā ievietot failu /etc/systemd/system/clamav-daemon.socket.d/extend.conf :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Pēc tam restartējiet serveri.

ClamAV antivīrusa dzīves cikla politika (End-Of-Life vai EOL)

Kopš 2024. gada 15. decembra tikai ClamAV antivīrusa versijas 1.0.x, 1.3.x un 1.4.x tiek atbalstītas un uzturētas.
Ja jums ir vecāka versija, ClamAV vairs nedarbosies, jo jaunākās parakstu datubāzes nav savietojamas ar šīm vecajām versijām. Tādējādi jums jāizmanto mūsu papildu paraksti ClamAV, vismaz Profesionālajā versijā, vai arī nekavējoties jāatjaunina jūsu ClamAV antivīruss. Labāk ir izmantot abus!
Lai iegūtu vairāk informācijas, iesakām izlasīt mūsu rakstu par vecajām ClamAV antivīrusa versijām.

ClamWin antivīruss vairs nedarbojas

ClamWin ir ClamAV antivīrusa Windows versija, ko izstrādājusi trešā puse. Tādējādi ClamWin netiek atbalstīts un attīstīts Cisco / Sourcefire izstrādātāju komandas. Diemžēl šis antivīruss vairs netiek attīstīts un tā pēdējā pieejamā versija ir 0.103.2.1. Kā minēts iepriekš, versijas 0.103 vairs netiek atbalstītas ClamAV, tāpēc ClamAV ir apturējusi parakstu datubāzu lejupielādi ClamWin. Tas padara to pilnīgi neefektīvu, tāpēc mēs neiesakām izmantot ClamWin uzņēmējdarbībā vai ražošanas vidē.

Mēs iesakām izmantot oficiālo ClamAV versiju Windows. Ir pieejamas gan 32 bitu, gan 64 bitu versijas. Protams, šī versija nav aprīkota ar grafisko lietotāja saskarni (GUI), taču ClamAV komandrinda nav pārāk sarežģīta, un dažiem vienkāršiem BAT failiem būs pietiekami, lai automatizētu diska skenēšanu.

Ir pieejams arī neoficiāls ClamAV antivīrusa ports Windows, kas ir interesants, jo tas darbojas pat uz ļoti vecām Windows versijām (WinNT un Windows 98!). Bet tas arī ir tikai komandrinda, un nav grafiskās saskarnes.

426 kļūda ar SecuriteInfo.com parakstiem

Ja jūs saņemat 426 kļūdu, izmantojot freshclam, lai lejupielādētu mūsu antivīrusa parakstus, tas nozīmē, ka jums ir bezmaksas konts un novecojis ClamAV antivīruss.

Risinājums ir atjaunināt savu ClamAV instalāciju vai izvēlēties "Profesionālo" abonementu, lai lejupielādētu mūsu parakstus. Vai arī labākais risinājums ir abas lietas kopā, lai uzlabotu ļaunprātīgo programmu atklāšanu jūsu instalācijā.

Es nevaru lejupielādēt securiteinfoold.hdb vai man ir kļūdas 'nonblock_recv: recv timing out (30 secs)' vai 'Download failed (28) ... Message: Timeout was reached'

• ClamAV versijai, kas ir vecāka par 0.102.2, pievienojiet "ReceiveTimeout 2400" savā freshclam.conf failā un restartējiet freshclam dēmonu.


• ClamAV versijām 0.102.2 un jaunākām, izdzēsiet ReceiveTimeout no sava freshclam.conf faila un restartējiet freshclam dēmonu.

Atjauniniet savu ClamAV versiju

Kā redzat, lielākā daļa problēmu tiek atrisinātas, atjauninot ClamAV antivīrusu uz jaunāko versiju. Ir vairāki veidi, kā to izdarīt, izvēlieties to, kas atbilst jūsu videi.

• Ja esat pārkompilējis ClamAV no avotiem, vienkārši ņemiet jaunāko ClamAV avotu failu versiju un pārkompilējiet to savā vidē. Tomēr jābūt uzmanīgiem attiecībā uz jūsu operētājsistēmas versiju: ja izmantojat novecojušu operētājsistēmu, jaunākā ClamAV versija var radīt kompilācijas kļūdas.


• Ja jums ir ClamAV izpildāma versija, piemēram, ar ClamAV Windows, vienkārši instalējiet pakotni ar jauno izpildāmo versiju. Tas ir vienkāršākais risinājums!


• Ja jūsu operētājsistēma nodrošina ClamAV antivīrusu, kā tas ir lielākajā daļā Linux vidi (Ubuntu, Debian, Red Hat, CentOS...), tad jums ir jāatjaunina operētājsistēma. Ja atjaunināšana nav iespējama vai ir pārāk sarežģīta, mēs iesakām noņemt ClamAV pakotni no operētājsistēmas un instalēt un pārkompilēt ClamAV no avotiem. Bet kā minēts iepriekš, ja jūsu operētājsistēma ir pārāk veca, ClamAV var neizdoties pārkompilēt.

Lai uzzinātu vairāk, iesakām izlasīt mūsu rakstu Ko riskējam, izmantojot veco ClamAV antivīrusa versiju?

SecuriteInfo.com atbalsts

Ja jums ir specifiskas vajadzības saistībā ar ClamAV, piemēram, uzturēšanas līgums, atbalsts kompilācijā vai tehnoloģiju uzraudzība, nevilcinieties sazināties ar mums un izskaidrot savas vajadzības. Mēs būsim priecīgi atbildēt uz jūsu antivīrusu aizsardzības vajadzībām ar ClamAV.

ClamAV oficiālais atbalsts

Ja jums ir citas kļūdas ziņas vai vēlaties tiešu atbalstu no ClamAV izstrādātāju komandas, ir divas iespējas:

• Vai nu pierakstieties oficiālajā e-pasta sarakstā (tikai angļu valodā), un pēc tam varat uzdot savu jautājumu pa e-pastu. Kopiena un daži no ClamAV izstrādātājiem atbildēs uz šo jautājumu šajā sarakstā.
• Vai nu izveidojiet biļeti viņu oficiālajā Github. Bet, lai to izdarītu, jums jābūt izstrādātājam, jo jūs būsiet jāsniedz daudz tehnisku informāciju savā biļetē. Tas nav paredzēts plašai sabiedrībai.

Vai zinājāt?

SecuriteInfo.com piedāvā papildu antivīrusa parakstus ClamAV. Tas ievērojami uzlabo ļaunprātīgo programmu un surogātpastu atklāšanu.


Piezīme: ClamAV ir Cisco reģistrēta preču zīme

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...