Opisaćemo i rešiti najčešće greške koje se pojavljuju prilikom korišćenja ClamAV antivirusa (clamscan, clamdscan i freshclam).
Greške u kompilaciji ClamAV-a iz izvornog koda neće biti obrađene ovde.

clamdscan "Can't open file or directory ERROR"

Kada skenirate fajlove ili direktorijume, moguće je da neki od njih izazovu ovu grešku. Odgovarajući fajlovi ne budu skenirani i propuštaju proveru prisustva malvera.
To može biti zbog prava na direktorijume ili fajlove, pa je potrebno proveriti da li clamdscan ima prava za čitanje i pisanje na tim fajlovima i direktorijumima.
Međutim, ovo može biti i zbog apparmora. Rešenje je da stavite clamd u "complain" mod apparmora. Evo rešenja za Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

Da biste ispravili ovu grešku, možete testirati sledeća 3 rešenja:

• Postavite fajlove i direktorijume koji se skeniraju na prava 666: chmod 666 *
• Koristite clamdscan sa opcijom --fdpass: clamdscan --fdpass
• Koristite clamdscan sa opcijom --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" u logovima freshclam-a

Kada se ova greška pojavi, to znači da ne možete preuzeti bazu podataka sa potpisima antivirusa.
Ova greška se odnosi na verziju stariju od ClamAV 0.102.
Od verzije 0.102, kod mrežnog dela freshclam-a je radikalno promenjen. Zbog toga, da biste rešili ovu grešku, potrebno je da ažurirate vašu verziju ClamAV-a.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" i "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" u logovima freshclam-a

Ova greška ukazuje na nemogućnost povezivanja sa ClamAV serverima za preuzimanje baze podataka sa potpisima antivirusa.

• Možda vaš server ima problem sa internet konekcijom.
• Možda koristite proxy (transparentan ili ne). Freshclam preferira direktnu konekciju sa ClamAV serverima i veoma loše podržava konekcije preko proxy servera. Pogotovo ako proxy menja svojstva HTTP(S) konekcije, na primer, menjajući User-Agent.
• Možda koristite veoma staru verziju ClamAV antivirusa i obavezno je potrebno da je ažurirate.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" u logovima freshclam-a

Ne možete da preuzmete bazu podataka sa potpisima antivirusa.
Moguće je da je fajl mirrors.dat prepunjen. Ovaj fajl se koristi za stavljanje ClamAV mirror servera na crnu listu kada dođe do greške. Ako ste imali prekid u internet konekciji, moguće je da je freshclam stavio sve mirror servere na crnu listu i da nijedan nije dostupan.
Rešenje je da obrišete ovaj fajl (na primer, /var/lib/clamav/mirrors.dat za Debian) i ponovo pokrenete freshclam.

Napomena: Od verzije 0.100 ovaj problem više ne postoji. Dakle, ako vidite ovakvu grešku, to znači da je važno da ažurirate ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" u logovima freshclam-a

Ne možete da ažurirate bazu podataka sa potpisima antivirusa i pojavljuje se ova poruka.
Moguće je da vaš računar nije sinhronizovan sa vremenom. Ažurirajte datum i vreme koristeći NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Moguće je da imate 2 različite verzije libclamav instalirane na vašem sistemu. To mogu biti 2 verzije koje je obezbedio vaš operativni sistem. U tom slučaju, samo obrišite stariju verziju. Takođe, ovo može biti mešavina između instalacije sa izvornih kodova ClamAV-a i verzije koju je obezbedio operativni sistem. Uvek obratite pažnju da imate samo jednu verziju libclamav instaliranu na vašem sistemu.

"LibClamAV Error: yyerror()" i "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV podržava antivirusne potpise u YARA formatu. Međutim, YARA interpretator koji se koristi je specifičan i unutrašnji za ClamAV. Ovaj YARA interpretator nije 100% kompatibilan sa zvaničnim YARA interpretatorom.
Neke YARA pravila ne funkcionišu potpuno sa ClamAV-om.
Da biste rešili ovaj problem:

• Možete ponovo napisati YARA pravilo koje izaziva problem da bi bilo kompatibilno sa ClamAV-om.
• Možete se nadati da će u bliskoj budućnosti YARA motor ClamAV-a biti unapređen.

Greške "LibClamAV Error" kao što je na primer "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" prilikom korišćenja ClamAV-a.

Ove greške su veoma specifične i mogu ukazivati na problem u skeniranju podataka koje ClamAV loše obrađuje. Preporučujemo da pošaljete informacije timu za razvoj ClamAV-a na zvanični Github.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" i "Can't allocate memory ERROR" prilikom korišćenja ClamAV-a

Ova poruka o grešci obično ukazuje na nedostatak RAM memorije tokom skeniranja. Dakle:

• Možda nemate dovoljno memorije, bilo bi dobro da povećate RAM memoriju na vašem serveru ili VPS-u.
• Možda skenirate preveliki objekat. Da biste to izbegli, postavite ograničenja na veličinu skeniranih objekata: --max-filesize ili --max-scansize u komandnoj liniji
• Možda skenirate sistemske fajlove ili direktorijume, kao što je na primer direktorijum /proc na Linux-u. Ovo je zabranjeno, nemojte to raditi.

"Segmentation fault (core dumped)" prilikom korišćenja ClamAV-a

Ova poruka o grešci je verovatno najvažnija od svih. Ona ukazuje na pad sistema antivirusa koji je toliko ozbiljan da je operativni sistem prekinuo ClamAV proces.

Međutim, poruka je previše generalna i posledica je mnogih mogućih uzroka, kao što su konfiguracija vašeg operativnog sistema, dostupni resursi (RAM) ili objekat koji pokušavate da skenirate sa ClamAV-om (prevelik, ili sistemski fajl iz /proc na primer).

Zbog toga nije moguće utvrditi tačan uzrok ovog pada, a najbolje rešenje je da otvorite grešku na Github-u ClamAV tima na zvanični Github.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV demon je u radu, ali TCP port 3310 nije otvoren: komanda "lsof -i|grep clamd" ne vraća ništa.
Pri pokretanju clamd-a, pojavljuje se sledeća greška: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Rešenje je da kreirate direktorijum /etc/systemd/system/clamav-daemon.socket.d/ i stavite fajl /etc/systemd/system/clamav-daemon.socket.d/extend.conf u njega:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Zatim ponovo pokrenite vaš server.

Politika kraja životnog ciklusa (End-Of-Life ili EOL) antivirusa ClamAV

Od 15. decembra 2024, samo verzije 1.0.x, 1.3.x i 1.4.x antivirusa ClamAV su podržane i održavane.
Ako imate stariju verziju, ClamAV više ne bi trebalo da funkcioniše jer nove baze podataka sa potpisima nisu kompatibilne sa tim starim verzijama. Dakle, ili koristite naše dodatne potpise za ClamAV, sa minimalnom Profesionalnom verzijom, ili hitno ažurirajte vaš ClamAV antivirus. Ili oboje, to je još bolje!
Da biste išli još dalje, preporučujem da pročitate naš članak o starim verzijama antivirusa ClamAV.

Antivirus ClamWin više ne funkcioniše

ClamWin je port Windows verzije antivirusa ClamAV, ali ga je napravila treća strana. Dakle, ClamWin nije podržan ni razvijen od strane timova Cisco / Sourcefire. Nažalost, ovaj antivirus za Windows više nije razvijan od strane svog vlasnika, a poslednja dostupna verzija je verzija 0.103.2.1. Kao što je pomenuto u prethodnom paragrafu, verzije 0.103 više nisu podržane od strane ClamAV-a, pa je ClamAV onemogućio preuzimanje baza podataka sa potpisima za ClamWin. Što ga čini potpuno neefikasnim, pa se ne preporučuje korišćenje ClamWin-a u poslovnim ili proizvodnim okruženjima.

Rešenje koje preporučujemo je da preuzmete zvaničnu verziju ClamAV-a za Windows. Dostupna je 32-bitna i 64-bitna verzija. Naravno, ova verzija nema grafički interfejs GUI, ali komandna linija ClamAV-a nije previše komplikovana i biće potrebno nekoliko jednostavnih BAT fajlova za automatizaciju skeniranja vašeg tvrdog diska.

Takođe postoji neofficial port antivirusa ClamAV za Windows koji je interesantan jer funkcioniše sa vrlo starim verzijama Windows-a (WinNT i Windows 98!). Ali ovo je još uvek komandna linija, i nema grafičkog interfejsa.

Greška 426 sa potpisima SecuriteInfo.com

Ako dobijete grešku 426 prilikom korišćenja freshclam-a za preuzimanje naših antivirusnih potpisa, to znači da imate besplatan nalog i zastareli ClamAV antivirus.

Rešenje je da ili ažurirate vašu ClamAV instalaciju, ili da izaberete "Profesionalni" plan kako biste preuzeli naše potpise. Ili oboje, kako biste značajno poboljšali detekciju malvera u vašoj instalaciji.

Ne mogu da preuzmem securiteinfoold.hdb, ili imam greške 'nonblock_recv: recv timing out (30 secs)' ili 'Download failed (28) ... Message: Timeout was reached'

• Za ClamAV stariji od 0.102.2, dodajte "ReceiveTimeout 2400" u vaš freshclam.conf fajl i ponovo pokrenite freshclam demon.


• Za ClamAV 0.102.2 i novije verzije, uklonite ReceiveTimeout iz vašeg freshclam.conf fajla i ponovo pokrenite freshclam demon.

Ažurirajte vašu verziju ClamAV-a

Kao što vidite, većina problema se rešava ažuriranjem antivirusa ClamAV na poslednju poznatu verziju. Postoji nekoliko metoda za to, vi izaberite onu koja odgovara vašem okruženju.

• Ako ste kompilirali ClamAV iz njegovih izvora, samo preuzmite poslednju verziju ClamAV izvora i ponovo je kompajlirajte u vašem okruženju. Ipak, obratite pažnju na verziju vašeg operativnog sistema: ako koristite veoma staru verziju sistema, moguće je da poslednja verzija ClamAV-a izazove greške pri kompilaciji.


• Ako imate izvršnu verziju ClamAV-a, kao na primer sa ClamAV za Windows, samo instalirajte paket koji sadrži novu verziju izvršnog fajla. Ovo je najjednostavnije rešenje!


• Ako je vaš operativni sistem obezbedio ClamAV antivirus, kao što je slučaj sa većinom Linux okruženja (Ubuntu, Debian, Red Hat, CentOS...), onda je imperativ da ažurirate vaš operativni sistem. Ako je ovo ažuriranje nemoguće jer je previše zahtevno, onda preporučujemo da obrišete ClamAV paket sa vašeg operativnog sistema i zatim instalirate i ponovo kompajlirate ClamAV iz izvora. Ali kao što je već pomenuto, ako je vaš operativni sistem previše star, ClamAV možda neće moći da se ponovo kompajlira.

Za više informacija, preporučujemo da pročitate naš članak Koji su rizici korišćenja stare verzije antivirusa ClamAV?

Podrška SecuriteInfo.com

Ako imate specifične potrebe u vezi sa ClamAV-om, kao što su ugovor o održavanju, podrška za kompilaciju ili tehnološki nadzor, slobodno kontaktirajte nas i objasnite vaše potrebe. Biće nam drago da odgovorimo na vaše potrebe za zaštitom od virusa sa ClamAV-om.

Zvanična podrška za ClamAV

Ako imate druge greške, ili ako želite direktnu podršku sa ClamAV razvojnim timom, imate dve mogućnosti:

• Možete da se prijavite na zvaničnu mailing listu (samo na engleskom) i možete postaviti pitanje putem e-maila. Zajednica i neki od ClamAV-ovih programera će vam odgovoriti na ovoj listi.
• Možete da otvorite tiket na njihovom zvaničnom Github-u. Ali za ovo morate biti programer jer ćete morati da pružite mnogo tehničkih detalja u vašem tiketu. Ovo nije za široku javnost.

Da li ste znali?

SecuriteInfo.com nudi dodatne antivirusne potpise za ClamAV. To omogućava značajno poboljšanje detekcije malvera i spama.


Napomena: ClamAV je registrovani zaštitni znak kompanije Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...