Opiszemy i rozwiążemy najczęstsze błędy, które pojawiają się podczas korzystania z antywirusa ClamAV (clamscan, clamdscan i freshclam).
Błędy kompilacji ClamAV z jego źródeł nie są tutaj omawiane.

clamdscan "Nie można otworzyć pliku ani katalogu BŁĄD"

Podczas skanowania plików lub katalogów może się zdarzyć, że niektóre z nich spowodują ten błąd. W związku z tym, te pliki nie będą skanowane i przejdą poza weryfikację obecności złośliwego oprogramowania.
Może to wynikać z uprawnień do katalogów lub plików, dlatego należy upewnić się, że clamdscan ma odpowiednie prawa do odczytu i zapisu w tych katalogach i plikach.
Jednak może to także wynikać z AppArmor. Rozwiązaniem jest ustawienie clamd w tryb "complain" w AppArmor. Oto rozwiązanie dla Debiana:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "Błąd weryfikacji ścieżki pliku: Brak dostępu. BŁĄD"

Aby naprawić ten błąd, możesz wypróbować trzy następujące rozwiązania:

• Ustawić uprawnienia do plików i katalogów na 666: chmod 666 *
• Użyć clamdscan z opcją --fdpass: clamdscan --fdpass
• Użyć clamdscan z opcją --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" w logach freshclam

Kiedy pojawia się ten komunikat o błędzie, oznacza to, że nie udało się pobrać baz danych sygnatur wirusów.
Ten komunikat dotyczy wersji starszych niż ClamAV 0.102.
Od wersji 0.102 kod części sieciowej freshclam został znacząco zmieniony. W związku z tym, aby rozwiązać ten błąd, należy zaktualizować wersję ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" i "WARNING: getpatch: Nie można pobrać daily-xxx.cdiff z db.local.clamav.net" w logach freshclam

Ten komunikat oznacza, że nie można połączyć się z serwerami ClamAV, aby pobrać bazy danych sygnatur wirusów.

• Może Twój serwer ma problem z połączeniem z Internetem.
• Możesz korzystać z proxy (przezroczystego lub nie). Freshclam preferuje bezpośrednie połączenie z serwerami ClamAV i ma problemy z połączeniami przez proxy. Zwłaszcza jeśli proxy zmienia właściwości połączenia HTTP(S), na przykład zmieniając User-Agent.
• Możesz używać bardzo starej wersji antywirusa ClamAV i konieczna jest jej aktualizacja.

"WARNING: Nie można odczytać nagłówka main.cvd z db.local.clamav.net (IP: )" w logach freshclam

Nie udało się pobrać baz danych sygnatur wirusów.
Możliwe, że plik mirrors.dat jest zapełniony. Ten plik służy do czarnej listy serwerów lustrzanych ClamAV, które mają błędy. Jeśli miałeś rozłączenie z Internetem, możliwe, że freshclam dodał wszystkie serwery do czarnej listy, przez co żaden nie jest dostępny.
Rozwiązaniem jest usunięcie tego pliku (np. /var/lib/clamav/mirrors.dat dla Debiana) i ponowne uruchomienie freshclam.

Należy pamiętać, że od wersji 0.100 ten problem już nie występuje. Jeśli widzisz taki błąd, oznacza to, że należy zaktualizować ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" w logach freshclam

Nie udało się zaktualizować baz danych sygnatur wirusów i pojawił się ten komunikat.
Możliwe, że Twój komputer nie ma ustawionego prawidłowego czasu. Zaktualizuj datę i godzinę za pomocą NTP.

"ERROR: To narzędzie wymaga libclamav o poziomie funkcjonalności XXX lub wyższym (aktualny poziom f: XXX)"

Możliwe, że masz zainstalowane dwie różne wersje libclamav w systemie. Może to być wynik dwóch wersji dostarczonych przez Twój system operacyjny. W takim przypadku wystarczy usunąć starszą wersję. Może to również być mieszanka instalacji z kodów źródłowych ClamAV i wersji dostarczonej przez system operacyjny. Należy upewnić się, że na systemie jest zainstalowana tylko jedna wersja libclamav.

"LibClamAV Error: yyerror()" oraz "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV obsługuje sygnatury wirusów w formacie YARA. Jednak używany silnik Yara jest specyficzny i wewnętrzny dla ClamAV. Ten silnik Yara nie jest w 100% kompatybilny z oficjalnym interpreterem Yara.
Niektóre zasady YARA mogą więc nie działać poprawnie w ClamAV.
Aby rozwiązać ten problem:

• Możesz przepisać problematyczną regułę YARA, aby była kompatybilna z ClamAV.
• Lub możesz mieć nadzieję, że w niedalekiej przyszłości silnik Yara w ClamAV zostanie ulepszony.

Błędy "LibClamAV Error", takie jak na przykład "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" podczas korzystania z ClamAV.

Te błędy są bardzo specyficzne i mogą wskazywać na problem z skanowaniem danych, które są źle obsługiwane przez ClamAV. W takim przypadku zalecamy zgłoszenie problemu zespołom deweloperskim ClamAV na oficjalnym GitHubie.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" oraz "Can't allocate memory ERROR" podczas korzystania z ClamAV

Ten komunikat błędu zazwyczaj wskazuje na brak pamięci RAM podczas skanowania. W związku z tym:

• Możesz nie mieć wystarczającej ilości pamięci, warto zwiększyć pamięć RAM na swoim serwerze lub VPS.
• Możesz próbować skanować zbyt duży obiekt. Aby temu zapobiec, ustaw limity na rozmiar skanowanych obiektów: --max-filesize lub --max-scansize w wierszu poleceń.
• Możesz skanować pliki lub katalogi systemowe, takie jak katalog /proc w systemie Linux. Jest to zabronione, nie rób tego.

"Segmentation fault (core dumped)" podczas korzystania z ClamAV

Ten komunikat błędu jest z pewnością najważniejszy z wszystkich. Wskazuje na awarię antywirusa, która jest na tyle poważna, że system operacyjny zakończył proces ClamAV.

Jednak ten komunikat jest zbyt ogólny i może być wynikiem różnych przyczyn, takich jak konfiguracja systemu operacyjnego, dostępne zasoby (RAM) lub obiekt, który próbujesz przeskanować z ClamAV (zbyt duży lub plik systemowy z /proc na przykład).

Nie można więc określić dokładnej przyczyny tej awarii, a najlepszym rozwiązaniem jest otwarcie zgłoszenia błędu dla zespołów deweloperskich ClamAV na ich oficjalnym GitHubie.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Demon ClamAV działa, ale port TCP 3310 nie jest otwarty: polecenie "lsof -i|grep clamd" nie zwraca żadnych wyników.
Po uruchomieniu clamd pojawia się następujący komunikat o błędzie: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Rozwiązaniem jest utworzenie katalogu /etc/systemd/system/clamav-daemon.socket.d/ i umieszczenie w nim pliku /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Następnie zrestartuj serwer.

Polityka zakończenia wsparcia (End-Of-Life lub EOL) programu antywirusowego ClamAV

Od 15 grudnia 2024 roku obsługiwane i utrzymywane są tylko wersje 1.0.x, 1.3.x i 1.4.x programu antywirusowego ClamAV.
Jeśli masz starszą wersję, ClamAV prawdopodobnie przestanie działać, ponieważ najnowsze bazy danych sygnatur nie są kompatybilne z tymi starszymi wersjami. Możesz więc użyć naszych dodatkowych sygnatur do ClamAV, w wersji co najmniej Professional, lub natychmiast zaktualizować swój program antywirusowy ClamAV. Albo zrobić oba te kroki — to jeszcze lepsze rozwiązanie!
Aby dowiedzieć się więcej, zachęcamy do przeczytania naszego artykułu na temat starych wersji programu antywirusowego ClamAV.

Program antywirusowy ClamWin już nie działa

ClamWin to wersja programu ClamAV na system Windows, ale stworzona przez stronę trzecią. Dlatego ClamWin nie jest wspierany ani rozwijany przez zespoły Cisco / Sourcefire. Niestety, ten program antywirusowy na Windows nie jest już rozwijany przez jego właściciela, a jego ostatnia dostępna wersja to 0.103.2.1. Jak wspomniano w poprzednim paragrafie, wersje 0.103 nie są już obsługiwane przez ClamAV, co oznacza, że ClamAV unieważnił pobieranie baz danych sygnatur dla ClamWin. Sprawia to, że jest całkowicie nieskuteczny i nie zaleca się używania ClamWin w firmach ani środowiskach produkcyjnych.

Zalecamy pobranie oficjalnej wersji ClamAV na Windows. Dostępne są wersje 32-bitowe i 64-bitowe. Chociaż ta wersja nie ma graficznego interfejsu użytkownika (GUI), linia poleceń w ClamAV nie jest skomplikowana, a do automatyzacji skanowania dysku wystarczy kilka prostych plików BAT.

Istnieje również nieoficjalna wersja programu antywirusowego ClamAV na Windows, która jest interesująca, ponieważ działa na bardzo starych systemach Windows (WinNT i Windows 98!). Jest to jednak narzędzie wiersza poleceń, bez graficznego interfejsu użytkownika.

Błąd 426 z sygnaturami SecuriteInfo.com

Jeśli pojawia się błąd 426 podczas używania freshclam do pobrania naszych sygnatur antywirusowych, oznacza to, że masz darmowe konto i przestarzałą wersję ClamAV.

Rozwiązaniem jest zaktualizowanie instalacji ClamAV lub wybranie abonamentu "Professional", aby pobrać nasze sygnatury. Można także zrobić oba te kroki, aby znacząco poprawić wykrywanie złośliwego oprogramowania.

Nie mogę pobrać securiteinfoold.hdb lub mam błędy 'nonblock_recv: recv timing out (30 secs)' lub 'Download failed (28)... Message: Timeout was reached'

• Dla wersji ClamAV starszych niż 0.102.2, dodaj "ReceiveTimeout 2400" do pliku freshclam.conf i uruchom ponownie demona freshclam.


• Dla ClamAV 0.102.2 i nowszych, usuń ReceiveTimeout z pliku freshclam.conf i uruchom ponownie demona freshclam.

Aktualizacja wersji ClamAV

Jak widzisz, większość problemów można rozwiązać, aktualizując ClamAV do najnowszej wersji. Istnieje kilka metod, aby to zrobić, wybierz tę, która pasuje do Twojego środowiska.

• Jeśli skompilowałeś ClamAV ze źródeł, wystarczy pobrać najnowsze pliki źródłowe ClamAV i ponownie skompilować w swoim środowisku. Pamiętaj jednak o wersji swojego systemu operacyjnego: jeśli używasz zbyt starego systemu, najnowsza wersja ClamAV może powodować błędy kompilacji.


• Jeśli masz wersję wykonywalną ClamAV, na przykład w przypadku ClamAV na Windows, wystarczy zainstalować pakiet z nową wersją wykonywalną. To najprostsze rozwiązanie!


• Jeśli Twój system operacyjny dostarczył Ci ClamAV, co jest typowe dla większości środowisk Linux (Ubuntu, Debian, Red Hat, CentOS...), konieczna jest aktualizacja systemu operacyjnego. Jeśli ta aktualizacja jest niemożliwa z powodu ograniczeń, zalecamy usunięcie pakietu ClamAV z systemu operacyjnego, a następnie zainstalowanie i ponowne skompilowanie ClamAV ze źródeł. Jednak, jak wcześniej wspomniano, jeśli Twój system operacyjny jest zbyt stary, ClamAV może się nie skompilować.

Aby dowiedzieć się więcej, polecamy lekturę naszego artykułu Jakie ryzyko wiąże się z używaniem starej wersji programu antywirusowego ClamAV?

Wsparcie SecuriteInfo.com

Jeśli masz specyficzne potrzeby dotyczące ClamAV, takie jak umowa serwisowa, wsparcie przy kompilacji lub monitorowanie technologiczne, skontaktuj się z nami tutaj i opisz swoje potrzeby. Chętnie odpowiemy na Twoje potrzeby w zakresie ochrony antywirusowej z ClamAV.

Oficjalne wsparcie ClamAV

Jeśli masz inne komunikaty o błędach lub potrzebujesz bezpośredniego wsparcia od zespołu programistycznego ClamAV, masz dwie możliwości:

• Możesz zapisać się na oficjalną listę mailingową (tylko w języku angielskim), a następnie wysłać pytanie e-mailem. Społeczność i niektórzy z programistów ClamAV odpowiedzą na tej liście.
• Możesz utworzyć zgłoszenie na oficjalnym Githubie. Jednak musisz być programistą, ponieważ do zgłoszenia będziesz musiał dostarczyć wiele elementów technicznych. To nie jest opcja dla szerokiego grona użytkowników.

Czy wiesz, że?

SecuriteInfo.com udostępnia dodatkowe sygnatury antywirusowe dla ClamAV. Pozwalają one znacznie zwiększyć wykrywanie złośliwego oprogramowania i spamu.


Uwaga: ClamAV jest zarejestrowanym znakiem towarowym Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...