Vi vil beskrive og løse de vanligste feilene som kan oppstå ved bruk av antivirusprogrammet ClamAV (clamscan, clamdscan og freshclam).
Feil ved kompilering av ClamAV fra kildene blir ikke behandlet her.

clamdscan "Can't open file or directory ERROR"

Når du skanner filer eller kataloger, kan det hende at noen av dem forårsaker denne feilen. De tilhørende filene blir dermed ikke skannet og omgår malware-sjekken.
Dette kan skyldes rettighetene til katalogene eller filene, så du må kontrollere at clamdscan har lese- og skrivetilgang til disse mappene og filene.
Men det kan også være relatert til AppArmor. Løsningen er å sette clamd til "complain"-modus i AppArmor. Her er løsningen for Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

For å rette denne feilen kan du teste de tre følgende løsningene:

• Sett filene og katalogene som blir skannet til rettigheter 666: chmod 666 *
• Bruk clamdscan med alternativet --fdpass: clamdscan --fdpass
• Bruk clamdscan med alternativet --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" i freshclam-loggene

Når denne feilmeldingen vises, betyr det at du ikke klarer å laste ned signaturdatabasene for antivirusprogrammet.
Denne meldingen gjelder for versjoner før ClamAV 0.102.
Fra og med versjon 0.102 ble nettverksdelen av freshclam radikalt endret. Derfor, for å løse denne feilen, må du oppdatere ClamAV-versjonen din.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" og "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" i freshclam-loggene

Denne meldingen indikerer at det er umulig å koble til ClamAV-serverne for å laste ned signaturdatabasene for antivirusprogrammet.

• Enten har serveren din et tilkoblingsproblem til internett.
• Enten bruker du en proxy (enten transparent eller ikke). Freshclam foretrekker en direkte tilkobling til ClamAV-serverne og støtter ikke proxy-tilkoblinger godt, spesielt hvis proxyen endrer HTTP(S)-tilkoblingens egenskaper, som å endre User-Agent.
• Enten bruker du en veldig gammel versjon av ClamAV, og det er viktig å oppdatere den.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" i freshclam-loggene

Du klarer ikke å laste ned signaturdatabasene for antivirusprogrammet.
Det er mulig at filen mirrors.dat er mettet. Denne filen brukes til å svarteliste ClamAV-speilservere som er i feil. Hvis du har hatt en internettnedkobling, er det mulig at freshclam har svartelistet alle speilene og at det ikke er noen tilgjengelige.
Løsningen er derfor å slette denne filen (for eksempel /var/lib/clamav/mirrors.dat for Debian) og starte freshclam på nytt.

Merk at dette problemet ikke lenger eksisterer i versjonene fra 0.100 og nyere. Så hvis du ser denne typen feil, er det viktig å oppdatere ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" i freshclam-loggene

Du klarer ikke å oppdatere signaturdatabasene for antivirusprogrammet, og denne meldingen vises.
Det er mulig at datamaskinen din ikke er tidsinnstilt korrekt. Oppdater dato og tid via NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Det er mulig at du har to forskjellige versjoner av libclamav installert på systemet ditt. Dette kan være to versjoner levert av operativsystemet ditt. I så fall må du bare fjerne den eldste versjonen. Det kan også være en blanding av en versjon installert fra ClamAVs kildekode og en versjon levert av operativsystemet. Du bør alltid sørge for at det kun er én versjon av libclamav installert på systemet ditt.

"LibClamAV Error: yyerror()" og "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV støtter antivirussignaturer i YARA-formatet. Men YARA-motoren som brukes er spesifikk og intern til ClamAV, og denne motoren er ikke 100% kompatibel med den offisielle YARA-tolkeren.
Derfor fungerer ikke noen YARA-regler helt med ClamAV.
For å løse dette problemet:

• Enten skriver du om YARA-regelen som forårsaker problemet for å gjøre den kompatibel med ClamAV.
• Enten håper du at ClamAVs YARA-motor vil bli forbedret i nær fremtid.

Feilene "LibClamAV Error" som for eksempel "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" ved bruk av ClamAV.

Disse feilene er veldig spesifikke og kan indikere et problem med skanning av data som ClamAV ikke håndterer godt. Vi anbefaler derfor å rapportere informasjonen til ClamAVs utviklingsteam på den offisielle GitHub.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" og "Can't allocate memory ERROR" ved bruk av ClamAV

Denne feilmeldingen indikerer vanligvis mangel på RAM under en skanning. Så:

• Enten har du ikke nok minne, i så fall kan det være lurt å øke RAM-en på serveren eller VPS-en din.
• Enten skanner du en for stor fil. For å unngå dette, sett grenser for størrelsen på objektene som skannes: --max-filesize eller --max-scansize i kommandolinjen.
• Enten skanner du systemfiler eller -kataloger, som for eksempel katalogen /proc på Linux. Dette er ikke tillatt, gjør det ikke.

"Segmentation fault (core dumped)" ved bruk av ClamAV

Denne feilmeldingen er sannsynligvis den viktigste av alle. Den indikerer at antivirusprogrammet krasjet så hardt at operativsystemet måtte avslutte ClamAV-prosessen.

Men meldingen er for generell og kan skyldes mange mulige årsaker, som systemkonfigurasjon, tilgjengelige ressurser (RAM) eller objektet du prøver å skanne med ClamAV (for stort, eller systemfil som /proc for eksempel).

Det er derfor ikke mulig å fastslå den eksakte årsaken til krasjet, og den beste løsningen er å opprette en feilrapport til ClamAVs utviklingsteam på deres offisielle GitHub.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV-demonen kjører, men TCP-porten 3310 er ikke åpen: kommandoen "lsof -i|grep clamd" returnerer ingenting.
Ved oppstart av clamd vises følgende feilmelding: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Løsningen er å opprette katalogen /etc/systemd/system/clamav-daemon.socket.d/ og deretter legge til filen /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Deretter kan du starte serveren på nytt.

Sluttdato-politikken (End-Of-Life eller EOL) for ClamAV antivirus

Siden 15. desember 2024, er kun versjonene 1.0.x, 1.3.x og 1.4.x av ClamAV antiviruset støttet og vedlikeholdt.
Hvis du har en eldre versjon, er ClamAV ikke lenger ment å fungere fordi de nyeste signaturdatabasene ikke er kompatible med disse gamle versjonene. Derfor kan du enten bruke våre tilleggs-signaturer for ClamAV, minimum i profesjonell versjon, eller oppdatere antiviruset ditt umiddelbart. Eller enda bedre, gjøre begge deler!
For å gå litt dypere, anbefaler jeg at du leser vår artikkel om gamle versjoner av ClamAV antiviruset.

ClamWin antivirus fungerer ikke lenger

ClamWin er en Windows-portering av ClamAV antivirus, men laget av en tredjepart. Så ClamWin er ikke støttet eller utviklet av Cisco / Sourcefire-teamene. Dessverre blir ikke dette antiviruset for Windows lenger utviklet av eieren, og den siste tilgjengelige versjonen er 0.103.2.1. Som nevnt tidligere, er versjonene 0.103 ikke lenger støttet av ClamAV, så ClamAV har deaktivert nedlastingen av signaturdatabaser for ClamWin. Dette gjør det helt ineffektivt, og det anbefales ikke å bruke ClamWin i bedriftsmiljøer eller produksjonsmiljøer.

Løsningen vi anbefaler er å laste ned den offisielle versjonen av ClamAV for Windows. Det finnes både en 32-bit og en 64-bit versjon tilgjengelig. Selv om denne versjonen ikke har et grafisk brukergrensesnitt (GUI), er ikke ClamAVs kommandolinje veldig komplisert, og noen enkle BAT-filer vil være nødvendige for å automatisere skanningen av harddisken din.

Det finnes også en uoffisiell portering av ClamAV antivirus for Windows som er interessant, da den fungerer på veldig gamle Windows-versjoner (WinNT og Windows 98!). Men det er fortsatt kommandolinje, og det er ikke noe grafisk brukergrensesnitt.

Feil 426 med signaturene fra SecuriteInfo.com

Hvis du får feil 426 når du bruker freshclam for å laste ned våre antivirussignaturer, betyr det at du har en gratis konto og en utdatert ClamAV antivirus.

Løsningen er enten å oppdatere ClamAV-installasjonen din, eller å velge et "Profesjonelt" abonnement for å laste ned våre signaturer. Eller begge deler for å sterkt forbedre malwaredeteksjonen i installasjonen din.

Jeg klarer ikke å laste ned securiteinfoold.hdb, eller jeg får feilene 'nonblock_recv: recv timing out (30 secs)' eller 'Download failed (28) ... Message: Timeout was reached'

• For ClamAV eldre enn 0.102.2, legg til "ReceiveTimeout 2400" i freshclam.conf-filen din og start freshclam-demonen på nytt.


• For ClamAV 0.102.2 og nyere, fjern ReceiveTimeout fra freshclam.conf-filen din og start freshclam-demonen på nytt.

Oppdater ClamAV-versjonen din

Som du kan se, løses de fleste problemene ved å oppdatere ClamAV antivirus til den nyeste kjente versjonen. Det finnes flere metoder for å gjøre dette, og det er opp til deg å velge den som passer for ditt miljø.

• Hvis du har kompilert ClamAV fra kildene, er det bare å ta den nyeste versjonen av ClamAVs kildefiler og kompilere det på nytt i ditt miljø. Vær imidlertid oppmerksom på operativsystemversjonen din: hvis du bruker et veldig gammelt operativsystem, kan det hende at den nyeste versjonen av ClamAV forårsaker kompilasjonsfeil.


• Hvis du har en eksekverbar versjon av ClamAV, som for eksempel ClamAV for Windows, er det bare å installere pakken som inneholder den nye eksekverbare versjonen. Dette er den enkleste løsningen!


• Hvis operativsystemet ditt leverte ClamAV antiviruset, som det er tilfelle for de fleste Linux-miljøer (Ubuntu, Debian, Red Hat, CentOS...), er det viktig å oppdatere operativsystemet ditt. Hvis denne oppdateringen er umulig på grunn av for store begrensninger, anbefaler vi å fjerne ClamAV-pakken fra operativsystemet ditt og installere og kompilere ClamAV på nytt fra kildene. Men som nevnt tidligere, hvis operativsystemet ditt er for gammelt, kan det hende at ClamAV ikke kan kompilere på nytt.

For mer informasjon, anbefaler vi at du leser vår artikkel Hva risikerer man ved å bruke en gammel versjon av ClamAV antivirus?

SecuriteInfo.com-støtte

Hvis du har spesifikke behov angående ClamAV, som for eksempel en vedlikeholdskontrakt, støtte ved kompilering eller teknologisk overvåking, ikke nøl med å kontakte oss og forklare behovene dine. Vi vil gjerne svare på dine behov for virussikring med ClamAV.

Den offisielle ClamAV-støtten

Hvis du har andre feilmeldinger, eller hvis du ønsker direkte støtte fra ClamAV utviklingsteamene, har du to alternativer:

• Enten kan du registrere deg på den offisielle e-postlisten (kun på engelsk), og deretter kan du sende spørsmålet ditt via e-post. Fellesskapet og noen av ClamAV-utviklerne vil svare på denne listen.
• Enten kan du opprette en ticket på deres offisielle GitHub. Men for dette må du være utvikler, fordi du må gi mange tekniske detaljer i ticketen din. Dette er ikke for allmennheten.

Visste du at?

SecuriteInfo.com tilbyr tilleggs-signaturer for ClamAV antivirus. Dette gjør det mulig å øke malware- og spam-detektering betydelig.


Merk: ClamAV er et registrert varemerke fra Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...