Popíšeme a vyriešime najbežnejšie chyby, ktoré sa vyskytujú pri používaní antivírusu ClamAV (clamscan, clamdscan a freshclam).
Chyby kompilácie ClamAV zo zdrojových kódov sa tu neberú do úvahy.

clamdscan "Can't open file or directory ERROR"

Pri skenovaní súborov alebo adresárov sa môže stať, že niektoré z nich spôsobia túto chybu. Tieto súbory sa nebudú skenovať a prejdú kontrolu prítomnosti malwaru.
Môže to byť spôsobené právami adresárov alebo súborov, preto je potrebné overiť, či má clamdscan správne práva na čítanie a zápis v týchto adresároch a súboroch.
Môže to byť aj spôsobené aplikovaním AppArmor. Riešením je nastaviť clamd do režimu "complain" v AppArmor. Tu je riešenie pre Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Ak chcete opraviť túto chybu, môžete vyskúšať tri nasledujúce riešenia:

• Nastavte práva súborov a adresárov na 666: chmod 666 *
• Použite clamdscan s voľbou --fdpass: clamdscan --fdpass
• Použite clamdscan s voľbou --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" v logoch freshclam

Keď sa objaví táto chybová správa, znamená to, že sa nedarí stiahnuť databázy podpisov antivírusu.
Táto správa sa týka verzie staršej ako ClamAV 0.102.
Od verzie 0.102 bol kód časti siete freshclam zásadne zmenený. Preto je potrebné aktualizovať vašu verziu ClamAV, aby ste vyriešili túto chybu.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" a "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" v logoch freshclam

Táto správa naznačuje, že sa nedarí pripojiť k serverom ClamAV na stiahnutie databáz podpisov antivírusu.

• Buď váš server má problém s pripojením na Internet.
• Buď používate proxy (transparentné alebo nie). Freshclam preferuje priamu konektivitu so servermi ClamAV a veľmi zle podporuje pripojenia cez proxy. Predovšetkým ak proxy mení vlastnosti HTTP(S) pripojenia, napríklad zmenu User-Agentu.
• Buď používate veľmi starú verziu antivírusu ClamAV a je nevyhnutné ho aktualizovať.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" v logoch freshclam

Nemôžete stiahnuť databázy podpisov antivírusu.
Je možné, že súbor mirrors.dat je preplnený. Tento súbor slúži na blacklistovanie zlyhávajúcich zrkadlových serverov ClamAV. Ak ste mali výpadok internetu, je možné, že freshclam zablokoval všetky zrkadlá a žiadne nebudú k dispozícii.
Riešením je vymazať tento súbor (napríklad /var/lib/clamav/mirrors.dat pre Debian) a znovu spustiť freshclam.

Všimnite si, že od verzie 0.100 tento problém už neexistuje. Ak teda vidíte tento typ chyby, je dôležité aktualizovať ClamAV.<br>

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" v logoch freshclam

Nemôžete aktualizovať databázy podpisov antivírusu a objavuje sa táto správa.
Je možné, že váš počítač nie je správne nastavený na správny čas. Aktualizujte dátum a čas pomocou NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Je možné, že na vašom systéme máte nainštalované dve rôzne verzie libclamav. Môže to byť spôsobené dvoma verziami poskytnutými vaším operačným systémom. Stačí odstrániť tú staršiu. Môže to byť aj zmiešaním inštalácie z ClamAV zdrojových kódov a verzie poskytnutej operačným systémom. Vždy sa uistite, že máte na svojom systéme nainštalovanú iba jednu verziu libclamav.

"LibClamAV Error: yyerror()" a "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV podporuje antivírusové podpisy vo formáte YARA. Avšak interpretačný motor YARA, ktorý používa, je špecifický a interný pre ClamAV. Tento motor YARA nie je úplne kompatibilný s oficiálnym YARA interpretom.
Niektoré YARA pravidlá preto nemusia fungovať úplne správne s ClamAV.
Na vyriešenie tohto problému:

• Buď prepíšete YARA pravidlo, ktoré spôsobuje problém, aby bolo kompatibilné s ClamAV.
• Buď dúfate, že v blízkej budúcnosti bude motor YARA v ClamAV vylepšený.

Chyby "LibClamAV Error", ako napríklad "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" pri používaní ClamAV.

Tieto chyby sú veľmi špecifické a môžu naznačovať problém so skenovaním dát, ktoré sú nesprávne spracované ClamAV. Odporúčame preto odoslať túto informáciu vývojovým tímom ClamAV na oficiálnom Github-e.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" a "Can't allocate memory ERROR" pri používaní ClamAV

Táto chybová správa zvyčajne naznačuje nedostatok RAM počas skenovania. Takže:

• Buď nemáte dostatok pamäte, v takom prípade by bolo dobré zvýšiť RAM vo vašom serveri alebo VPS.
• Buď skenujete príliš veľký objekt. Aby ste tomu predišli, nastavte limity na veľkosť skenovaných objektov: --max-filesize alebo --max-scansize v príkazovom riadku.
• Buď skenujete systémové súbory alebo adresáre, ako napríklad adresár /proc v Linuxe. Toto je zakázané, nerobte to.

"Segmentation fault (core dumped)" pri používaní ClamAV

Táto chybová správa je pravdepodobne najdôležitejšia zo všetkých. Naznačuje pád antivírusu, ktorý je natoľko vážny, že operačný systém zastavil proces ClamAV.

Avšak správa je príliš všeobecná a jej príčina môže byť veľmi rôznorodá, napríklad konfigurácia vášho operačného systému, dostupné zdroje (RAM) alebo objekt, ktorý sa snažíte skenovať s ClamAV (príliš veľký alebo systémový súbor, ako napríklad /proc).

Preto nie je možné určiť presnú príčinu tohto pádu a najlepším riešením je otvoriť tiket na opravu u vývojových tímov ClamAV na ich oficiálnom Github-e.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

Démon ClamAV je v prevádzke, ale TCP port 3310 nie je otvorený: príkaz "lsof -i|grep clamd" nevráti žiadne výsledky.
Pri štarte clamd sa objaví nasledujúca chybová správa: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Riešením je vytvoriť adresár /etc/systemd/system/clamav-daemon.socket.d/ a vložiť doň súbor /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Potom reštartujte váš server.

Politika konca životnosti (End-Of-Life alebo EOL) antivírusu ClamAV

Od 15. decembra 2024 sú podporované a udržiavané iba verzie 1.0.x, 1.3.x a 1.4.x antivírusu ClamAV.
Ak máte staršiu verziu, ClamAV už nemusí fungovať, pretože nové databázy podpisov nie sú kompatibilné s týmito staršími verziami. Takže buď používate naše prídavné podpisy pre ClamAV, minimálne vo verzii Profesionál, alebo urgentne aktualizujte svoj antivírus ClamAV. Alebo oboje, to je ešte lepšie!
Pre viac informácií vám odporúčame prečítať si náš článok o starých verziách antivírusu ClamAV.

Antivírus ClamWin nefunguje

ClamWin je port Windows verzie antivírusu ClamAV, ktorý vytvoril tretí subjekt. Preto ClamWin nie je podporovaný ani vyvíjaný tímami Cisco / Sourcefire. Bohužiaľ, tento antivírus pre Windows už nie je vyvíjaný jeho vlastníkom a jeho posledná dostupná verzia je verzia 0.103.2.1. Ako bolo uvedené v predchádzajúcej časti, verzia 0.103 už nie je podporovaná ClamAV, takže ClamAV deaktivoval sťahovanie databáz podpisov pre ClamWin. To ho robí úplne neúčinným, preto sa neodporúča používať ClamWin na firemné alebo produkčné účely.

Riešením, ktoré odporúčame, je stiahnuť oficiálnu verziu ClamAV pre Windows. Dostupná je verzia pre 32bit a 64bit. Áno, táto verzia nemá grafické rozhranie GUI, ale príkazový riadok ClamAV nie je veľmi zložitý a niekoľko jednoduchých súborov BAT bude potrebných na automatizáciu skenovania vášho pevného disku.

Existuje aj neoficiálny port antivírusu ClamAV pre Windows, ktorý je zaujímavý, pretože funguje aj na veľmi starých verziách Windows (WinNT a Windows 98!). Ale stále ide o príkazový riadok a neexistuje grafické rozhranie.

Chyba 426 pri použití podpisov SecuriteInfo.com

Ak dostanete chybu 426 pri použití freshclam na stiahnutie našich antivírusových podpisov, znamená to, že máte bezplatný účet a zastaraný antivírus ClamAV.

Riešením je buď aktualizovať vašu inštaláciu ClamAV, alebo zvoliť predplatné "Profesionál", aby ste mohli stiahnuť naše podpisy. Alebo urobiť oboje, čo výrazne zlepší detekciu malvéru vašou inštaláciou.

Nemôžem stiahnuť securiteinfoold.hdb, alebo mám chyby 'nonblock_recv: recv timing out (30 secs)' alebo 'Download failed (28) ... Message: Timeout was reached'

• Pre ClamAV starší ako 0.102.2, pridajte "ReceiveTimeout 2400" do vášho súboru freshclam.conf a reštartujte démon freshclam.


• Pre ClamAV 0.102.2 a novšie, odstráňte ReceiveTimeout zo súboru freshclam.conf a reštartujte démon freshclam.

Aktualizujte svoju verziu ClamAV

Ako vidíte, väčšina problémov sa vyrieši aktualizovaním antivírusu ClamAV na poslednú známa verziu. Existuje niekoľko spôsobov, ako to urobiť, je na vás, aby ste si vybrali ten, ktorý vyhovuje vášmu prostrediu.

• Ak ste rekompilovali ClamAV zo zdrojov, stačí vziať poslednú verziu zdrojových súborov ClamAV a znovu ho skompilovať vo vašom prostredí. Pozor však na verziu vášho operačného systému: ak používate veľmi starý operačný systém, môže sa stať, že posledná verzia ClamAV spôsobí chyby pri kompilácii.


• Ak máte spustiteľnú verziu ClamAV, ako napríklad s ClamAV pre Windows, stačí nainštalovať balík obsahujúci novú verziu spustiteľného súboru. To je najjednoduchšie riešenie!


• Ak vám antivírus ClamAV poskytol operačný systém, ako je to v prípade väčšiny Linux prostredí (Ubuntu, Debian, Red Hat, CentOS...), je nevyhnutné aktualizovať váš operačný systém. Ak je táto aktualizácia nemožná kvôli obmedzeniam, odporúčame odstrániť balík ClamAV z vášho operačného systému a nainštalovať a znovu skompilovať ClamAV zo zdrojov. Ale ako bolo spomenuté skôr, ak je váš operačný systém príliš starý, ClamAV nemusí byť možné znovu skompilovať.

Pre viac informácií odporúčame prečítať si náš článok Čo hrozí pri použití starej verzie antivírusu ClamAV?

Podpora SecuriteInfo.com

Ak máte špecifické požiadavky týkajúce sa ClamAV, ako napríklad zmluvu o údržbe, podporu pri kompilácii alebo technologické monitorovanie, neváhajte nás kontaktovať a vysvetliť nám vaše potreby. Radi vám pomôžeme so zabezpečením ochrany proti vírusom pomocou ClamAV.

Oficiálna podpora ClamAV

Ak máte ďalšie chybové správy alebo ak chcete priame podporu od vývojových tímov ClamAV, máte dve možnosti:

• Buď sa prihlásite na oficiálny mailing list (iba v angličtine) a môžete položiť svoju otázku e-mailom. Komunita a niektorí vývojári ClamAV vám odpovedia na tento zoznam.
• Buď vytvoríte tiket na ich oficiálny Github. Ale na to musíte byť vývojár, pretože budete musieť poskytnúť veľa technických informácií vo vašom tikete. Toto nie je pre širokú verejnosť.

Viete to?

SecuriteInfo.com poskytuje prídavné antivírusové podpisy pre antivírus ClamAV. To výrazne zvyšuje detekciu malvérov a spamu.


Poznámka: ClamAV je ochranná známka Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...