Kami akan menerangkan dan menyelesaikan masalah yang paling biasa yang berlaku semasa menggunakan antivirus ClamAV (clamscan, clamdscan dan freshclam).
Masalah pembinaan ClamAV daripada sumbernya tidak dibincangkan di sini.

clamdscan "Can't open file or directory ERROR"

Apabila anda mengimbas fail atau direktori, adalah mungkin bahawa sesetengah daripada mereka menyebabkan ralat ini. Fail yang terlibat tidak akan diimbas dan mengabaikan pemeriksaan kehadiran malware.
Ini mungkin disebabkan oleh hak akses pada direktori atau fail, jadi pastikan bahawa clamdscan mempunyai hak akses bacaan dan penulisan pada direktori dan fail tersebut.
Tetapi ini juga mungkin disebabkan oleh apparmor. Penyelesaiannya adalah dengan meletakkan clamd dalam mod "complain" apparmor. Berikut adalah penyelesaian untuk Debian :

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Untuk membetulkan ralat ini, anda boleh mencuba 3 penyelesaian berikut:

• Letakkan fail dan direktori yang diimbas kepada hak 666: chmod 666 *
• Gunakan clamdscan dengan pilihan --fdpass: clamdscan --fdpass
• Gunakan clamdscan dengan pilihan --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" dalam log freshclam

Apabila mesej ralat ini muncul, itu bermaksud anda tidak dapat memuat turun pangkalan data tandatangan antivirus.
Mesej ini berkaitan dengan versi sebelum ClamAV 0.102.
Mulai dari versi 0.102, kod bahagian rangkaian freshclam telah diubah secara radikal. Oleh itu, untuk menyelesaikan ralat ini, anda perlu mengemas kini versi ClamAV anda.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" dan "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" dalam log freshclam

Mesej ini menunjukkan ketidakmampuan untuk menyambung ke pelayan ClamAV untuk memuat turun pangkalan data tandatangan antivirus.

• Samada pelayan anda mempunyai masalah sambungan Internet.
• Samada anda menggunakan proksi (transparan atau tidak). Freshclam lebih suka sambungan langsung ke pelayan ClamAV dan menyokong sambungan melalui Proksi dengan sangat buruk. Terutama jika Proksi mengubah sifat sambungan HTTP(S), sebagai contoh dengan menukar User-Agent.
• Samada anda menggunakan versi antivirus ClamAV yang sangat lama, dan adalah penting untuk mengemas kini versi tersebut.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" dalam log freshclam

Anda tidak dapat memuat turun pangkalan data tandatangan antivirus.
Mungkin fail mirrors.dat telah penuh. Fail ini digunakan untuk menyenarai hitam pelayan cermin ClamAV yang bermasalah. Jika anda mengalami pemutusan sambungan Internet, adalah mungkin bahawa freshclam telah menyenarai hitamkan semua pelayan cermin dan tiada lagi yang tersedia.
Penyelesaiannya adalah dengan memadamkan fail ini (contohnya /var/lib/clamav/mirrors.dat untuk Debian) dan melancarkan semula freshclam.

Perlu diingat bahawa sejak versi 0.100, masalah ini tidak lagi wujud. Oleh itu, jika anda melihat jenis ralat ini, itu bermaksud bahawa adalah penting untuk mengemas kini ClamAV

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" dalam log freshclam

Anda tidak dapat mengemas kini pangkalan data tandatangan antivirus dan mesej ini muncul.
Kemungkinan komputer anda tidak mempunyai masa yang betul. Kemas kini tarikh dan masa melalui NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Kemungkinan anda mempunyai 2 versi libclamav yang berbeza dipasang pada sistem anda. Ini mungkin dua versi yang disediakan oleh sistem pengendalian anda. Anda hanya perlu memadamkan versi yang lebih lama. Ini juga boleh menjadi campuran antara pemasangan dari kod sumber ClamAV, dan versi yang disediakan oleh sistem pengendalian. Pastikan untuk hanya memasang satu versi libclamav pada sistem anda.

"LibClamAV Error: yyerror()" dan "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV menyokong tandatangan antivirus dalam format YARA. Tetapi enjin penginterpretasi YARA yang digunakan adalah spesifik dan dalaman kepada ClamAV. Enjin YARA ini tidak sepenuhnya serasi dengan penginterpretasi rasmi YARA.
Oleh itu, beberapa peraturan YARA tidak berfungsi sepenuhnya dengan ClamAV.
Untuk menyelesaikan masalah ini :

• Anda boleh menulis semula peraturan YARA yang bermasalah untuk menjadikannya serasi dengan ClamAV.
• Atau anda boleh berharap bahawa dalam masa terdekat enjin YARA ClamAV akan ditambah baik.

Ralat "LibClamAV Error" seperti "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" semasa menggunakan ClamAV.

Ralat ini sangat spesifik dan boleh menunjukkan masalah dalam mengimbas data yang tidak ditangani dengan baik oleh ClamAV. Kami mengesyorkan supaya melaporkan maklumat ini kepada pasukan pembangunan ClamAV di Github rasmi.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" dan "Can't allocate memory ERROR" semasa menggunakan ClamAV

Mesej ralat ini biasanya menunjukkan kekurangan memori RAM semasa mengimbas. Jadi :

• Samada anda tidak mempunyai cukup memori, lebih baik untuk menambah memori RAM pada pelayan atau VPS anda.
• Samada anda sedang mengimbas objek yang terlalu besar. Untuk mengelakkan ini, tetapkan had pada saiz objek yang diimbas: --max-filesize atau --max-scansize dalam baris perintah.
• Samada anda mengimbas fail atau direktori sistem, seperti direktori /proc di Linux. Ini tidak dibenarkan, jangan lakukan itu.

"Segmentation fault (core dumped)" semasa menggunakan ClamAV

Mesej ralat ini mungkin yang paling penting. Ia menunjukkan bahawa antivirus terhenti dengan begitu teruk sehingga sistem pengendalian telah menghentikan proses ClamAV.

Tetapi mesej ini terlalu umum dan boleh disebabkan oleh pelbagai sebab, seperti konfigurasi sistem pengendalian anda, sumber yang tersedia (RAM), atau objek yang anda cuba imbas dengan ClamAV (terlalu besar, atau fail sistem seperti /proc).

Oleh itu, tidak mungkin untuk menentukan punca sebenar kemalangan ini dan penyelesaian terbaik adalah untuk membuka tiket ralat kepada pasukan pembangunan ClamAV di Github rasmi.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Demon ClamAV sedang berjalan, tetapi port TCP 3310 tidak dibuka: perintah "lsof -i|grep clamd" tidak mengembalikan apa-apa.
Semasa memulakan clamd, mesej ralat berikut muncul: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Penyelesaiannya adalah untuk membuat direktori /etc/systemd/system/clamav-daemon.socket.d/ dan meletakkan fail /etc/systemd/system/clamav-daemon.socket.d/extend.conf di dalamnya :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Kemudian mulakan semula pelayan anda.

Dasar Akhir Hayat (End-Of-Life atau EOL) Antivirus ClamAV

Sejak 15 Disember 2024, hanya versi 1.0.x, 1.3.x dan 1.4.x antivirus ClamAV yang disokong dan dikekalkan.
Jika anda mempunyai versi yang lebih lama, ClamAV tidak lagi berfungsi kerana pangkalan data tandatangan terkini tidak serasi dengan versi lama ini. Jadi, sama ada anda menggunakan tandatangan tambahan untuk ClamAV, sekurang-kurangnya versi Profesional, atau anda mengemas kini antivirus ClamAV anda dengan segera. Atau lebih baik lagi, kedua-duanya!
Untuk melangkah lebih jauh, saya cadangkan anda membaca artikel kami mengenai versi lama antivirus ClamAV.

Antivirus ClamWin Tidak Berfungsi Lagi

ClamWin adalah port Windows dari antivirus ClamAV tetapi dibangunkan oleh pihak ketiga. Oleh itu, ClamWin tidak disokong atau dibangunkan oleh pasukan Cisco / Sourcefire. Malangnya, antivirus untuk Windows ini tidak lagi dibangunkan oleh pemiliknya dan versi terakhir yang tersedia adalah versi 0.103.2.1. Seperti yang dilihat pada perenggan sebelumnya, versi 0.103 tidak lagi disokong oleh ClamAV, jadi ClamAV telah membatalkan muat turun pangkalan data tandatangan untuk ClamWin. Ini menjadikannya tidak berkesan, dan oleh itu tidak digalakkan untuk menggunakan ClamWin dalam penggunaan perusahaan atau dalam persekitaran pengeluaran.

Penyelesaian yang kami cadangkan adalah untuk memuat turun versi rasmi ClamAV untuk Windows. Versi 32bit dan 64bit tersedia. Memang, versi ini tidak mempunyai antara muka grafik GUI, tetapi baris perintah ClamAV tidak terlalu rumit dan beberapa fail BAT mudah diperlukan untuk mengautomatikkan imbasan cakera keras anda.

Terdapat juga porting tidak rasmi antivirus ClamAV untuk Windows yang menarik kerana ia berfungsi dengan Windows yang sangat lama (WinNT dan Windows 98!). Tetapi ini tetap menggunakan baris perintah, dan tiada antara muka grafik.

Ralat 426 dengan Tandatangan SecuriteInfo.com

Jika anda mendapat ralat 426 semasa menggunakan freshclam untuk memuat turun tandatangan antivirus kami, ini bermakna anda mempunyai akaun percuma dan antivirus ClamAV yang sudah lapuk.

Penyelesaiannya adalah untuk mengemas kini pemasangan ClamAV anda, atau memilih langganan "Profesional" untuk memuat turun tandatangan kami. Atau lakukan kedua-duanya untuk meningkatkan pengesanan malware oleh pemasangan anda.

Saya Tidak Dapat Memuat Turun securiteinfoold.hdb, atau Saya Mempunyai Ralat 'nonblock_recv: recv timing out (30 secs)' atau 'Download failed (28) ... Mesej: Timeout was reached'

• Untuk ClamAV lebih lama daripada 0.102.2, tambahkan "ReceiveTimeout 2400" dalam fail freshclam.conf anda dan mulakan semula demon freshclam.


• Untuk ClamAV 0.102.2 dan lebih baru, padamkan ReceiveTimeout dari fail freshclam.conf anda dan mulakan semula demon freshclam.

Kemas Kini Versi ClamAV Anda

Seperti yang anda lihat, kebanyakan masalah dapat diselesaikan dengan mengemas kini antivirus ClamAV kepada versi terkini. Terdapat beberapa kaedah untuk melakukannya, anda boleh memilih yang sesuai dengan persekitaran anda.

• Jika anda telah menyusun semula ClamAV daripada sumbernya, cukup ambil versi terkini fail sumber ClamAV dan susun semula dalam persekitaran anda. Walau bagaimanapun, berhati-hati dengan versi sistem pengendalian anda: jika anda menggunakan sistem pengendalian yang terlalu lama, mungkin versi terkini ClamAV akan menyebabkan ralat semasa kompilasi.


• Jika anda mempunyai versi boleh laksana ClamAV, seperti dengan ClamAV Windows, cukup pasang pakej yang mengandungi versi terkini fail boleh laksana. Ini adalah penyelesaian yang paling mudah!


• Jika sistem pengendalian anda yang menyediakan antivirus ClamAV, seperti yang berlaku untuk kebanyakan persekitaran Linux (Ubuntu, Debian, Red Hat, CentOS...), maka sangat penting untuk mengemas kini sistem pengendalian anda. Jika kemas kini ini tidak mungkin kerana terlalu membebankan, maka kami mencadangkan untuk memadamkan pakej ClamAV daripada sistem pengendalian anda dan memasang serta menyusun semula ClamAV daripada sumber. Tetapi seperti yang dilihat sebelumnya, jika sistem pengendalian anda terlalu lama, ClamAV mungkin tidak dapat disusun semula.

Untuk melangkah lebih jauh, kami mencadangkan membaca artikel kami Apakah risiko menggunakan versi lama antivirus ClamAV?

Sokongan SecuriteInfo.com

Jika anda mempunyai keperluan khusus mengenai ClamAV, seperti kontrak penyelenggaraan, sokongan kompilasi atau pemantauan teknologi, jangan ragu untuk menghubungi kami dan menjelaskan keperluan anda. Kami akan dengan senang hati membantu anda dengan perlindungan antivirus ClamAV.

Sokongan Rasmi ClamAV

Jika anda mempunyai mesej ralat lain, atau jika anda memerlukan sokongan langsung dengan pasukan pembangunan ClamAV, anda mempunyai dua pilihan :

• Anda boleh mendaftar di senarai mel rasmi (hanya dalam bahasa Inggeris) dan kemudiannya mengemukakan soalan anda melalui email. Komuniti dan beberapa pembangun ClamAV akan menjawab soalan anda dalam senarai ini.
• Atau anda boleh membuat tiket di Github rasmi mereka. Tetapi untuk itu, anda mesti seorang pembangun kerana anda perlu menyediakan banyak elemen teknikal dalam tiket anda. Ini bukan untuk orang awam.

Adakah Anda Tahu?

SecuriteInfo.com menyediakan tandatangan antivirus tambahan untuk ClamAV. Ini membolehkan peningkatan yang besar dalam pengesanan malware dan spam.


Nota: ClamAV adalah tanda dagang yang didaftarkan oleh Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...