We zullen de meest voorkomende fouten beschrijven en oplossen die optreden bij het gebruik van de antivirus ClamAV (clamscan, clamdscan en freshclam).
Fouten bij het compileren van ClamAV vanuit de broncode worden hier niet behandeld.
clamdscan "Can't open file or directory ERROR"
Wanneer u bestanden of mappen scant, kan het voorkomen dat sommige van hen deze fout veroorzaken. De betreffende bestanden worden dus niet gescand en worden overgeslagen bij de malwarecontrole.
Dit kan te wijten zijn aan de rechten van de mappen of bestanden, dus u moet controleren of clamdscan lees- en schrijfrechten heeft voor deze mappen en bestanden.
Het kan echter ook aan AppArmor liggen. De oplossing is om clamd in de "complain"-modus van AppArmor te zetten. Hier is de oplossing voor Debian:
apt-get install apparmor-utils
aa-complain /usr/sbin/clamd
clamdscan "File path check failure: Permission denied. ERROR"
Om deze fout te corrigeren, kunt u een van de volgende drie oplossingen proberen:
- Geef de gescande bestanden en mappen 666-rechten: chmod 666 *
- Gebruik clamdscan met de optie --fdpass: clamdscan --fdpass
- Gebruik clamdscan met de optie --stream: clamdscan --stream
"Ignoring mirror (due to previous errors)" in de logs van freshclam
Wanneer dit foutbericht verschijnt, betekent dit dat u de virusdefinitiebestanden niet kunt downloaden.
Deze fout treedt op bij versies ouder dan ClamAV 0.102.
Vanaf versie 0.102 is de netwerkomgeving van freshclam radicaal veranderd. Daarom is het noodzakelijk om uw versie van ClamAV bij te werken om deze fout op te lossen.
"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" en "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" in de logs van freshclam
Dit bericht geeft aan dat er geen verbinding kan worden gemaakt met de ClamAV-servers om de virusdefinitiebestanden te downloaden.
- Uw server heeft mogelijk een probleem met de internetverbinding.
- U gebruikt mogelijk een proxy (transparant of niet). Freshclam geeft de voorkeur aan een directe verbinding met de ClamAV-servers en heeft moeite met proxyverbindingen, vooral als de proxy de eigenschappen van de HTTP(S)-verbinding wijzigt, bijvoorbeeld door de User-Agent te wijzigen.
- U gebruikt mogelijk een zeer oude versie van ClamAV en het is noodzakelijk om deze bij te werken.
"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" in de logs van freshclam
U kunt de virusdefinitiebestanden niet downloaden.
Het is mogelijk dat het bestand mirrors.dat verzadigd is. Dit bestand dient om mirror-servers van ClamAV die fouten geven te blokkeren. Als u een internetonderbreking heeft gehad, is het mogelijk dat freshclam alle mirrors heeft geblokkeerd en dat er geen meer beschikbaar zijn.
De oplossing is om dit bestand te verwijderen (bijvoorbeeld /var/lib/clamav/mirrors.dat voor Debian) en freshclam opnieuw te starten.
Merk op dat dit probleem sinds versie 0.100 niet meer voorkomt. Dus als u dit soort fouten ziet, is het belangrijk om ClamAV bij te werken.
"WARNING: Message: SSL peer certificate or SSH remote key was not OK" in de logs van freshclam
U kunt de virusdefinitiebestanden niet bijwerken en dit bericht verschijnt.
Het is mogelijk dat uw computer niet op de juiste tijd staat. Werk de datum en tijd bij via NTP.
"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"
Het is mogelijk dat u twee verschillende versies van libclamav op uw systeem hebt geïnstalleerd. Dit kunnen twee versies zijn die door uw besturingssysteem worden geleverd. Verwijder gewoon de oudste versie. Het kan ook een mix zijn tussen een installatie vanuit de broncode van ClamAV en een versie geleverd door het besturingssysteem. Zorg ervoor dat er slechts één versie van libclamav op uw systeem is geïnstalleerd.
"LibClamAV Error: yyerror()" en "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"
ClamAV ondersteunt virussignaturen in YARA-formaat. Maar de YARA-interpretatiemotor die wordt gebruikt, is specifiek en intern voor ClamAV. Deze YARA-motor is niet 100% compatibel met de officiële YARA-interpreter.
Sommige YARA-regels werken daarom niet volledig met ClamAV.
Om dit probleem op te lossen:
- Herschrijf de YARA-regel die het probleem veroorzaakt om deze compatibel te maken met ClamAV.
- Of wacht tot de YARA-motor van ClamAV in de nabije toekomst wordt verbeterd.
De fouten "LibClamAV Error", zoals "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" bij het gebruik van ClamAV.
Deze fouten zijn zeer specifiek en kunnen wijzen op een probleem met het scannen van gegevens die ClamAV niet goed verwerkt. We raden aan om deze informatie door te geven aan de ontwikkelteams van ClamAV via de
officiële GitHub.
"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" en "Can't allocate memory ERROR" bij het gebruik van ClamAV
Dit foutbericht duidt meestal op een gebrek aan RAM-geheugen tijdens een scan. Dus:
- U heeft mogelijk niet genoeg geheugen. Het zou goed zijn om het RAM-geheugen van uw server of VPS te vergroten.
- U scant een object dat te groot is. Om dit te voorkomen, stelt u limieten in voor de grootte van de gescande objecten: --max-filesize of --max-scansize via de opdrachtregel.
- U scant systeemmappen of -bestanden, zoals de map /proc op Linux. Dit is niet toegestaan, doe dit niet.
"Segmentation fault (core dumped)" bij het gebruik van ClamAV
Dit foutbericht is waarschijnlijk de meest kritieke van allemaal. Het geeft aan dat de antivirus zo ernstig is vastgelopen dat het besturingssysteem het ClamAV-proces heeft beëindigd.
Maar het bericht is te algemeen en kan het gevolg zijn van veel mogelijke oorzaken, zoals de configuratie van uw besturingssysteem, de beschikbare middelen (RAM) of het object dat u probeert te scannen met ClamAV (te groot of systeembestand van bijvoorbeeld /proc).
Het is dus niet mogelijk om de exacte oorzaak van deze crash te bepalen, en de beste oplossing is om een bugrapport in te dienen bij de ontwikkelteams van ClamAV via hun
officiële GitHub.
TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd
De ClamAV-daemon is actief, maar poort TCP 3310 is niet geopend: de opdracht "lsof -i|grep clamd" retourneert niets.
Bij het starten van clamd verschijnt de volgende foutmelding: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".
De oplossing is om de map /etc/systemd/system/clamav-daemon.socket.d/ te maken en daarin het bestand /etc/systemd/system/clamav-daemon.socket.d/extend.conf te plaatsen:
cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310
Start vervolgens uw server opnieuw op.
Het End-Of-Life (EOL) beleid van de antivirus ClamAV
Sinds 15 december 2024 worden alleen
de versies 1.0.x, 1.3.x en 1.4.x van de antivirus ClamAV ondersteund en onderhouden.
Als u een oudere versie heeft, zal ClamAV waarschijnlijk niet meer werken, omdat de recente virusdefinitiebestanden niet langer compatibel zijn met deze oude versies. U kunt dus ofwel onze
aanvullende handtekeningen voor ClamAV gebruiken (minimaal Professioneel abonnement), ofwel dringend uw ClamAV-antivirus bijwerken. Of beide, wat nog beter is!
Voor meer informatie raden wij u aan ons artikel te lezen over
oude versies van de antivirus ClamAV.
De antivirus ClamWin werkt niet meer
ClamWin is een Windows-portering van de antivirus ClamAV, maar gemaakt door een derde partij. Daarom wordt ClamWin niet ondersteund of ontwikkeld door de teams van Cisco / Sourcefire. Helaas wordt deze Windows-antivirus niet meer ontwikkeld door de eigenaar en de laatste beschikbare versie is versie 0.103.2.1. Zoals in de vorige paragraaf besproken, worden versies 0.103 niet langer ondersteund door ClamAV, waardoor ClamAV het downloaden van virusdefinitiebestanden voor ClamWin heeft uitgeschakeld. Dit maakt het volledig ineffectief en het wordt daarom afgeraden om ClamWin te gebruiken in een zakelijke of productieomgeving.
De oplossing die wij aanbevelen is om
de officiële versie van ClamAV voor Windows te downloaden. Er is een 32-bits en een 64-bits versie beschikbaar. Deze versie heeft geen grafische interface (GUI), maar de opdrachtregel van ClamAV is niet erg ingewikkeld en met een paar eenvoudige BAT-bestanden kunt u het scannen van uw harde schijf automatiseren.
Er bestaat ook een
niet-officiële portering van de antivirus ClamAV voor Windows, die interessant is omdat het werkt met zeer oude Windows-versies (WinNT en Windows 98!). Maar dit blijft via de opdrachtregel en er is geen grafische interface.
Fout 426 met de handtekeningen van SecuriteInfo.com
Als u fout 426 krijgt bij het gebruik van freshclam om
onze virushandtekeningen te downloaden, betekent dit dat u een gratis account heeft en een verouderde ClamAV-antivirus.
De oplossing is om uw ClamAV-installatie bij te werken of een "Professioneel" abonnement te kiezen om onze handtekeningen te downloaden. Of beide doen om de malware-detectie van uw installatie aanzienlijk te verbeteren.
Ik kan securiteinfoold.hdb niet downloaden, of ik krijg fouten zoals 'nonblock_recv: recv timing out (30 secs)' of 'Download failed (28) ... Message: Timeout was reached'
- Voor ClamAV ouder dan 0.102.2, voeg "ReceiveTimeout 2400" toe aan uw freshclam.conf-bestand en start de freshclam-demon opnieuw.
- Voor ClamAV 0.102.2 en hoger, verwijder ReceiveTimeout uit uw freshclam.conf-bestand en start de freshclam-demon opnieuw.
Uw versie van ClamAV bijwerken
Zoals u ziet, worden de meeste problemen opgelost door de antivirus ClamAV bij te werken naar de nieuwste versie. Er zijn verschillende manieren om dit te doen, kies degene die bij uw omgeving past.
- Als u ClamAV vanaf de broncode heeft gecompileerd, download dan gewoon de nieuwste broncodebestanden van ClamAV en compileer deze opnieuw in uw omgeving. Let echter op de versie van uw besturingssysteem: als u een te oud besturingssysteem gebruikt, is het mogelijk dat de nieuwste versie van ClamAV compileerfouten veroorzaakt.
- Als u een uitvoerbare versie van ClamAV heeft, zoals bijvoorbeeld ClamAV voor Windows, installeer dan het pakket met de nieuwe uitvoerbare versie. Dit is de eenvoudigste oplossing!
- Als uw besturingssysteem de antivirus ClamAV heeft geleverd, zoals in de meeste Linux-omgevingen (Ubuntu, Debian, Red Hat, CentOS ...), is het essentieel om uw besturingssysteem bij te werken. Als deze update niet mogelijk is vanwege beperkingen, raden wij aan om het ClamAV-pakket van uw besturingssysteem te verwijderen en ClamAV te installeren en opnieuw te compileren vanuit de broncode. Maar zoals eerder vermeld, als uw besturingssysteem te oud is, kan ClamAV mogelijk niet worden gecompileerd.
Voor meer informatie raden wij u aan ons artikel te lezen:
Wat zijn de risico's van het gebruik van een oude versie van de antivirus ClamAV?
SecuriteInfo.com ondersteuning
Als u specifieke behoeften heeft met betrekking tot ClamAV, zoals een onderhoudscontract, ondersteuning bij het compileren of technologische monitoring, aarzel dan niet om
contact met ons op te nemen en uw behoeften uit te leggen. We helpen u graag bij uw antivirusbescherming met ClamAV.
Officiële ondersteuning van ClamAV
Als u andere foutmeldingen heeft of directe ondersteuning wilt van de ontwikkelteams van ClamAV, heeft u twee mogelijkheden:
- Schrijf u in op de officiële mailinglijst (alleen in het Engels) en stel uw vraag per e-mail. De community en enkele ClamAV-ontwikkelaars zullen u op deze lijst antwoorden.
- Of maak een ticket aan op hun officiële GitHub. Hiervoor moet u echter een ontwikkelaar zijn, omdat u veel technische details moet aanleveren bij uw ticket. Dit is niet bedoeld voor het grote publiek.
Wist u dat?
SecuriteInfo.com biedt
aanvullende virushandtekeningen voor de antivirus ClamAV. Dit verhoogt de detectie van malware en spam aanzienlijk.
Opmerking: ClamAV is een geregistreerd handelsmerk van Cisco
Tags
ANTIVIRUS
CLAMAV
LINUX
WINDOWS
MACOS
Inscription à notre lettre d'information
Inscrivez-vous à notre
lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.
