Vom descrie și rezolva cele mai comune erori care apar în timpul utilizării antivirusului ClamAV (clamscan, clamdscan și freshclam).
Erorile de compilare ale ClamAV din sursele sale nu sunt abordate aici.

clamdscan "Can't open file or directory ERROR"

Atunci când scanați fișiere sau directoare, este posibil ca unele dintre ele să provoace această eroare. Fișierele corespunzătoare nu vor fi scanate și vor ocoli verificarea prezenței malware-urilor.
Aceasta poate fi cauzată de permisiunile directoarelor sau fișierelor, astfel încât trebuie să verificați dacă clamdscan are permisiuni de citire și scriere pe aceste directoare și fișiere.
Dar aceasta poate fi cauzată și de apparmor. Soluția este de a pune clamd în modul "complain" al apparmor. Iată soluția pentru Debian :

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Pentru a corecta această eroare, puteți testa următoarele 3 soluții :

• Setați permisiunile fișierelor și directoarelor scanate la 666: chmod 666 *
• Utilizați clamdscan cu opțiunea --fdpass : clamdscan --fdpass
• Utilizați clamdscan cu opțiunea --stream : clamdscan --stream

"Ignoring mirror (due to previous errors)" în jurnalele freshclam

Când apare acest mesaj de eroare, înseamnă că nu reușiți să descărcați bazele de date de semnături ale antivirusului.
Acest mesaj corespunde unei versiuni anterioare ClamAV 0.102.
Începând cu versiunea 0.102, codul părții de rețea din freshclam a fost schimbat radical. Prin urmare, pentru a rezolva această eroare, este necesar să actualizați versiunea ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" și "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" în jurnalele freshclam

Acest mesaj indică imposibilitatea de a se conecta la serverele ClamAV pentru a descărca bazele de date de semnături ale antivirusului.

• Fie serverul dumneavoastră are o problemă de conexiune la Internet.
• Fie utilizați un proxy (transparent sau nu). Freshclam preferă o conexiune directă la serverele ClamAV și suportă foarte prost conexiunile prin Proxy. Mai ales dacă Proxy-ul modifică proprietățile conexiunii HTTP(S), de exemplu schimbând User-Agent-ul.
• Fie utilizați o versiune foarte veche a antivirusului ClamAV, și este imperativ să îl actualizați.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" în jurnalele freshclam

Nu reușiți să descărcați bazele de date de semnături ale antivirusului.
Este posibil ca fișierul mirrors.dat să fie saturat. Acest fișier este folosit pentru a adăuga în lista neagră serverele mirror ale ClamAV care sunt în eroare. Dacă ați avut o deconectare de la Internet, este posibil ca freshclam să fi adăugat în lista neagră toate serverele mirror și să nu mai existe unele disponibile.
Soluția este să ștergeți acest fișier (de exemplu /var/lib/clamav/mirrors.dat pentru Debian) și să reluați freshclam.

Menționați că, începând cu versiunile 0.100, această problemă nu mai există. Așadar, dacă vedeți acest tip de eroare, este important să actualizați ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" în jurnalele freshclam

Nu reușiți să actualizați bazele de date de semnături ale antivirusului și apare acest mesaj.
Este posibil ca computerul dumneavoastră să nu fie setat corect la ora exactă. Actualizați data și ora prin NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Este posibil să aveți 2 versiuni diferite de libclamav instalate pe sistemul dumneavoastră. Acestea pot fi 2 versiuni furnizate de sistemul dumneavoastră de operare. Trebuie doar să eliminați versiunea mai veche. De asemenea, poate fi o combinație între o instalare din sursele ClamAV și o versiune furnizată de sistemul de operare. Este important să aveți instalată doar o singură versiune de libclamav pe sistemul dumneavoastră.

"LibClamAV Error: yyerror()" și "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV suportă semnături antivirus în format YARA. Totuși, motorul de interpretare YARA folosit este specific și intern la ClamAV. Acest motor YARA nu este 100% compatibil cu interpretul oficial YARA.
Astfel, unele reguli YARA nu funcționează complet cu ClamAV.
Pentru a rezolva această problemă :

• Fie rescrieți regula YARA care cauzează probleme pentru a o face compatibilă cu ClamAV.
• Fie sperați că, în viitorul apropiat, motorul YARA al ClamAV va fi îmbunătățit.

Erorile "LibClamAV Error" cum ar fi "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" la utilizarea ClamAV.

Aceste erori sunt foarte specifice și pot evidenția o problemă de scanare a datelor gestionate incorect de ClamAV. Recomandăm să transmiteți informațiile echipelor de dezvoltare ale ClamAV pe Github oficial.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" și "Can't allocate memory ERROR" la utilizarea ClamAV

Acest mesaj de eroare indică de obicei o lipsă de memorie RAM în timpul unei scanări. Deci :

• Fie nu aveți suficientă memorie, ar fi bine să creșteți memoria RAM a serverului sau VPS-ului dumneavoastră.
• Fie scanați un obiect prea mare. Pentru a evita acest lucru, puneți limite la dimensiunea obiectelor scanate : --max-filesize sau --max-scansize în linia de comandă.
• Fie scanați fișiere sau directoare de sistem, cum ar fi directorul /proc sub Linux. Acest lucru este interzis, nu faceți asta.

"Segmentation fault (core dumped)" la utilizarea ClamAV

Acest mesaj de eroare este probabil cel mai important dintre toate. El indică o întrerupere a antivirusului atât de puternică încât sistemul de operare a încheiat procesul ClamAV.

Totuși, mesajul este prea general și poate fi cauzat de multiple motive, cum ar fi configurația sistemului de operare, resursele disponibile (RAM) sau obiectul pe care încercați să-l scanați cu ClamAV (prea mare sau un fișier de sistem din /proc de exemplu).

Prin urmare, nu este posibil să determinăm cauza exactă a acestei întreruperi, iar cea mai bună soluție este să deschideți un ticket de bug către echipele de dezvoltare ale ClamAV pe Github oficial.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Demonul ClamAV este în execuție, dar portul TCP 3310 nu este deschis : comanda "lsof -i|grep clamd" nu returnează nimic.
La pornirea clamd, apare următorul mesaj de eroare : "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Soluția este să creați directorul /etc/systemd/system/clamav-daemon.socket.d/ și să puneți în el fișierul /etc/systemd/system/clamav-daemon.socket.d/extend.conf :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Apoi reporniți serverul dumneavoastră.

Politica de sfârșit de viață (End-Of-Life sau EOL) a antivirusului ClamAV

Începând cu 15 decembrie 2024, doar versiunile 1.0.x, 1.3.x și 1.4.x ale antivirusului ClamAV sunt susținute și întreținute.
Dacă aveți o versiune anterioară, ClamAV nu mai trebuie să funcționeze deoarece bazele de date recente de semnături nu sunt compatibile cu aceste versiuni vechi. Așadar, fie utilizați semnăturile suplimentare pentru ClamAV, cel puțin în versiunea Profesională, fie actualizați urgent antivirusul ClamAV. Sau amândouă, este chiar mai bine!
Pentru a merge un pic mai departe, vă recomand să citiți articolul nostru despre versiunile vechi ale antivirusului ClamAV.

Antivirusul ClamWin nu mai funcționează

ClamWin este un port Windows al antivirusului ClamAV, realizat însă de un terț. Așadar, ClamWin nu este susținut și dezvoltat de echipele Cisco / Sourcefire. Din păcate, acest antivirus pentru Windows nu mai este dezvoltat de proprietarul său și ultima versiune disponibilă este versiunea 0.103.2.1. După cum s-a menționat la paragraful anterior, versiunile 0.103 nu mai sunt susținute de ClamAV, iar ClamAV a invalidat descărcarea bazelor de date de semnături pentru ClamWin. Acest lucru îl face complet ineficient, așadar nu se recomandă utilizarea ClamWin pentru uz în afaceri sau în medii de producție.

Soluția pe care o recomandăm este să descărcați versiunea oficială ClamAV pentru Windows. Este disponibilă o versiune pe 32 de biți și una pe 64 de biți. Desigur, această versiune nu are o interfață grafică GUI, dar linia de comandă ClamAV nu este foarte complicată și vor fi necesare câteva fișiere BAT simple pentru a automatiza scanarea discului dumneavoastră.

Există și un port neoficial al antivirusului ClamAV pentru Windows care este interesant deoarece funcționează cu Windows foarte vechi (WinNT și Windows 98!). Dar rămâne o interfață de linie de comandă, fără interfață grafică.

Eroare 426 cu semnăturile SecuriteInfo.com

Dacă primiți eroarea 426 la utilizarea freshclam pentru a descărca semnăturile antivirus de la noi, înseamnă că aveți un cont gratuit și un antivirus ClamAV învechit.

Soluția constă fie în actualizarea instalației ClamAV, fie în alegerea unui abonament "Profesional" pentru a descărca semnăturile noastre. Sau în amândouă, pentru a îmbunătăți considerabil detectarea malware-urilor de către instalația dumneavoastră.

Nu reușesc să descarc securiteinfoold.hdb, sau am erori 'nonblock_recv: recv timing out (30 secs)' sau 'Download failed (28) ... Message: Timeout was reached'

• Pentru ClamAV mai vechi de 0.102.2, adăugați "ReceiveTimeout 2400" în fișierul dumneavoastră freshclam.conf și reporniți demonul freshclam.


• Pentru ClamAV 0.102.2 și versiuni superioare, eliminați ReceiveTimeout din fișierul freshclam.conf și reporniți demonul freshclam.

Actualizați versiunea ClamAV

După cum vedeți, majoritatea problemelor se rezolvă prin actualizarea antivirusului ClamAV la ultima versiune cunoscută. Există mai multe metode pentru a face acest lucru, alegeți-o pe cea care corespunde mediului dumneavoastră.

• Dacă ați recompilat ClamAV din sursele sale, tot ce trebuie să faceți este să luați ultima versiune a fișierelor sursă ClamAV și să-l recompilați în mediul dumneavoastră. Atenție însă la versiunea sistemului dumneavoastră de operare: dacă folosiți un sistem de operare prea vechi, este posibil ca ultima versiune ClamAV să provoace erori de compilare.


• Dacă aveți o versiune executabilă a ClamAV, cum ar fi în cazul ClamAV pentru Windows, tot ce trebuie să faceți este să instalați pachetul care conține noua versiune a executabilului. Aceasta este cea mai simplă soluție!


• Dacă antivirusul ClamAV a fost furnizat de sistemul dumneavoastră de operare, așa cum se întâmplă în majoritatea mediilor Linux (Ubuntu, Debian, Red Hat, CentOS...), atunci este imperativ să actualizați sistemul dumneavoastră de operare. Dacă această actualizare este imposibilă din cauza constrângerilor prea mari, atunci recomandăm să ștergeți pachetul ClamAV din sistemul dumneavoastră de operare și să instalați și să recompilați ClamAV din surse. Dar, așa cum s-a spus mai devreme, dacă sistemul dumneavoastră de operare este prea vechi, ClamAV ar putea să nu se recompilieze.

Pentru a merge mai departe, vă recomandăm să citiți articolul nostru Ce riscuri implică utilizarea unei versiuni vechi a antivirusului ClamAV?

Suportul SecuriteInfo.com

Dacă aveți nevoie de servicii specifice legate de ClamAV, cum ar fi un contract de întreținere, suport pentru compilare sau monitorizare tehnologică, nu ezitați să ne contactați și să ne explicați necesitățile dumneavoastră. Vom fi bucuroși să vă răspundem cerințelor de protecție antivirus cu ClamAV.

Suportul oficial ClamAV

Dacă aveți alte mesaje de eroare sau doriți suport direct cu echipele de dezvoltare ClamAV, aveți două opțiuni :

• Fie vă înregistrați pe lista de corespondență oficială (doar în limba engleză) și apoi puteți pune întrebarea prin email. Comunitatea și unii dintre dezvoltatorii ClamAV vă vor răspunde pe această listă.
• Fie creați un ticket pe Github-ul oficial. Dar pentru aceasta trebuie să fiți dezvoltator, deoarece va trebui să adăugați multe elemente tehnice în ticket. Nu este destinat publicului larg.

Știați că?

SecuriteInfo.com pune la dispoziție semnături antivirale suplimentare pentru ClamAV. Acest lucru permite o îmbunătățire semnificativă a detectării malware-urilor și a spam-urilor.


Notă: ClamAV este o marcă înregistrată de Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...