Vi kommer att beskriva och lösa de vanligaste felen som uppstår vid användning av antivirusprogrammet ClamAV (clamscan, clamdscan och freshclam).
Fel vid kompilering av ClamAV från källkoden behandlas inte här.

clamdscan "Can't open file or directory ERROR"

När du skannar filer eller kataloger kan det hända att vissa av dem orsakar detta fel. De motsvarande filerna skannas inte och därmed missar de malwarekontrollen.
Detta kan bero på rättigheterna för katalogerna eller filerna, så du måste kontrollera att clamdscan har läs- och skrivbehörighet för dessa mappar och filer.
Men det kan också bero på apparmor. Lösningen är att sätta clamd i "complain"-läge i apparmor. Här är lösningen för Debian:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "File path check failure: Permission denied. ERROR"

För att åtgärda detta fel kan du prova de tre följande lösningarna:

• Sätt filerna och katalogerna som skannas till rätt 666: chmod 666 *
• Använd clamdscan med alternativet --fdpass: clamdscan --fdpass
• Använd clamdscan med alternativet --stream: clamdscan --stream

"Ignoring mirror (due to previous errors)" i freshclams loggar

När detta felmeddelande visas betyder det att du inte kan ladda ner antivirusets signaturdatabaser.
Detta meddelande motsvarar en version av ClamAV som är äldre än 0.102.
Från och med version 0.102 har koden för nätverksdelen i freshclam radikalt ändrats. För att lösa detta fel behöver du uppdatera din version av ClamAV.

"nonblock_connect: connect(): fd=5 errno=101: Network is unreachable" och "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net" i freshclams loggar

Detta meddelande indikerar att det är omöjligt att ansluta till ClamAV:s servrar för att ladda ner antivirusets signaturdatabaser.

• Antingen har din server ett internetanslutningsproblem.
• Antingen använder du en proxy (transparent eller inte). Freshclam föredrar en direkt anslutning till ClamAV:s servrar och har dålig support för anslutningar via proxy. Speciellt om proxyn modifierar HTTP(S)-anslutningens egenskaper, till exempel genom att ändra User-Agent.
• Antingen använder du en mycket gammal version av ClamAV, och det är viktigt att uppdatera den.

"WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )" i freshclams loggar

Du kan inte ladda ner antivirusets signaturdatabaser.
Det är möjligt att filen mirrors.dat är full. Den här filen används för att svartlista ClamAV:s spegelservrar som är i fel. Om du har haft ett internetavbrott kan det hända att freshclam har svartlistat alla speglar och att det inte finns några tillgängliga.
Lösningen är att ta bort denna fil (till exempel /var/lib/clamav/mirrors.dat för Debian) och starta om freshclam.

Observera att detta problem inte längre finns från version 0.100 och framåt. Så om du ser detta typ av fel är det viktigt att uppdatera ClamAV.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" i freshclams loggar

Du kan inte uppdatera antivirusets signaturdatabaser och detta meddelande visas.
Det är möjligt att din dator inte är korrekt inställd på tid. Uppdatera datum och tid via NTP.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Det är möjligt att du har två olika versioner av libclamav installerade på ditt system. Detta kan vara två versioner som levereras av ditt operativsystem. Du behöver bara ta bort den äldre versionen. Det kan också vara en blandning av en installation från ClamAV:s källkod och en version som levereras av operativsystemet. Det är viktigt att endast ha en version av libclamav installerad på ditt system.

"LibClamAV Error: yyerror()" och "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV stöder antivirus-signaturer i YARA-formatet. Men den Yara-tolk som används är specifik och intern för ClamAV. Denna Yara-motor är inte 100% kompatibel med den officiella Yara-tolkaren.
Vissa YARA-regler fungerar därför inte helt med ClamAV.
För att lösa detta problem:

• Antingen omarbetar du YARA-regeln som orsakar problemet för att göra den kompatibel med ClamAV.
• Antingen hoppas du att ClamAV:s Yara-motor förbättras i framtiden.

Felmeddelanden som "LibClamAV Error", till exempel "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" vid användning av ClamAV.

Dessa fel är mycket specifika och kan peka på ett problem med att skanna data som hanteras fel av ClamAV. Vi rekommenderar att du vidarebefordrar informationen till ClamAV:s utvecklingsteam på det officiella Github.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" och "Can't allocate memory ERROR" vid användning av ClamAV

Detta felmeddelande indikerar vanligtvis ett minnesbristproblem under en skanning. Så här kan du lösa det:

• Antingen har du inte tillräckligt med minne, och det skulle vara bra att öka RAM-minnet på din server eller VPS.
• Antingen skannar du ett objekt som är för stort. För att undvika detta, sätt gränser för storleken på de objekt som skannas: --max-filesize eller --max-scansize i kommandoraden.
• Antingen skannar du systemfiler eller kataloger, som till exempel katalogen /proc på Linux. Detta är förbjudet, gör inte det.

"Segmentation fault (core dumped)" vid användning av ClamAV

Detta felmeddelande är förmodligen det viktigaste av alla. Det indikerar ett krasch i antiviruset som är så allvarligt att operativsystemet har avslutat ClamAV-processen.

Men meddelandet är för allmänt och är en konsekvens av många möjliga orsaker, till exempel din operativsystems konfiguration, tillgängliga resurser (RAM) eller objektet du försöker skanna med ClamAV (för stort eller systemfil från /proc till exempel).

Det är därför inte möjligt att exakt fastställa orsaken till kraschen, och den bästa lösningen är att öppna en buggrapport till ClamAV:s utvecklingsteam på deras officiella Github.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV-demonen körs, men TCP-porten 3310 är inte öppen: kommandot "lsof -i|grep clamd" ger inget resultat.
Vid start av clamd visas följande felmeddelande: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Lösningen är att skapa katalogen /etc/systemd/system/clamav-daemon.socket.d/ och sedan lägga till filen /etc/systemd/system/clamav-daemon.socket.d/extend.conf:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Och starta om din server.

ClamAV:s slutlivspolicy (End-Of-Life eller EOL)

Från och med den 15 december 2024 stöds och underhålls endast versionerna 1.0.x, 1.3.x och 1.4.x av ClamAV antivirus.
Om du har en äldre version är ClamAV inte längre tänkt att fungera eftersom de senaste signaturdatabaserna inte längre är kompatibla med dessa äldre versioner. Så antingen använder du våra tilläggssignaturer för ClamAV, åtminstone i professionell version, eller så uppdaterar du din ClamAV-antivirus omedelbart. Både alternativen är bättre!
För att gå lite djupare rekommenderar jag att du läser vår artikel om gamla versioner av ClamAV antivirus.

ClamWin antivirus fungerar inte längre

ClamWin är en Windows-port av ClamAV antivirus men utvecklad av en tredje part. Så ClamWin stöds inte och utvecklas inte av Cisco / Sourcefire-teamet. Tyvärr utvecklas inte detta antivirus för Windows längre av dess ägare, och den senaste tillgängliga versionen är version 0.103.2.1. Som nämnt i föregående stycke stöds inte versionerna 0.103 längre av ClamAV, vilket gör att ClamAV har inaktiverat nedladdning av signaturdatabaser för ClamWin. Detta gör att ClamWin är helt ineffektivt, så vi rekommenderar inte att använda ClamWin för företagsanvändning eller i produktionsmiljöer.

Den rekommenderade lösningen är att ladda ner den officiella versionen av ClamAV för Windows. En 32-bitarsversion och en 64-bitarsversion finns tillgängliga. Visst, denna version har ingen grafisk användargränssnitt (GUI), men ClamAV:s kommandorad är inte så komplicerad och några enkla BAT-filer kommer att behövas för att automatisera skanningen av din hårddisk.

Det finns också en inofficiell port av ClamAV antivirus för Windows som är intressant eftersom den fungerar med mycket gamla Windows (WinNT och Windows 98!). Men det är fortfarande en kommandoradsversion, och det finns ingen grafisk användargränssnitt.

Fel 426 med signaturer från SecuriteInfo.com

Om du får fel 426 när du använder freshclam för att ladda ner våra antivirus-signaturer, betyder det att du har ett gratis konto och en föråldrad ClamAV-antivirusversion.

Lösningen är att antingen uppdatera din ClamAV-installation eller välja ett "Professionellt" abonnemang för att ladda ner våra signaturer. Eller varför inte göra båda för att kraftigt förbättra din installations malware-detektion.

Jag kan inte ladda ner securiteinfoold.hdb, eller jag får felmeddelandena 'nonblock_recv: recv timing out (30 secs)' eller 'Download failed (28) ... Message: Timeout was reached'

• För ClamAV-versioner äldre än 0.102.2, lägg till "ReceiveTimeout 2400" i din freshclam.conf-fil och starta om freshclam-demonen.


• För ClamAV 0.102.2 och nyare, ta bort ReceiveTimeout från din freshclam.conf-fil och starta om freshclam-demonen.

Uppdatera din ClamAV-version

Som du ser löses de flesta problem genom att uppdatera ClamAV-antiviruset till den senaste kända versionen. Det finns flera metoder för att göra detta, välj den som passar din miljö.

• Om du har kompilera ClamAV från källkod, ta bara den senaste versionen av ClamAV:s källkod och kompilera det på din miljö. Tänk dock på din operativsystems version: om du använder ett äldre operativsystem kan det hända att den senaste versionen av ClamAV orsakar kompilationsfel.


• Om du har en körbar version av ClamAV, som till exempel med ClamAV för Windows, räcker det att installera paketet med den nya versionen av den körbara filen. Detta är den enklaste lösningen!


• Om din operativsystem levererade ClamAV-antiviruset, som det är fallet för de flesta Linux-miljöer (Ubuntu, Debian, Red Hat, CentOS...), måste du uppdatera ditt operativsystem. Om denna uppdatering är omöjlig på grund av begränsningar, rekommenderar vi att du tar bort ClamAV-paketet från ditt operativsystem och installerar och kompilerar ClamAV från källkod. Men som nämnt tidigare, om ditt operativsystem är för gammalt kan ClamAV inte kompilera.

För att gå djupare rekommenderar vi att du läser vår artikel Vad riskerar man genom att använda en gammal version av ClamAV?

SecuriteInfo.com support

Om du har specifika behov gällande ClamAV, som till exempel ett underhållsavtal, support för kompilering eller teknisk bevakning, tveka inte att kontakta oss och förklara dina behov. Vi kommer att vara glada att hjälpa dig med ditt behov av antivirusskydd med ClamAV.

Officiell ClamAV support

Om du har andra felmeddelanden, eller om du vill ha direkt support från ClamAV:s utvecklingsteam, har du två alternativ:

• Antingen anmäler du dig till den officiella e-postlistan (endast på engelska), och du kan sedan ställa din fråga via e-post. Gemenskapen och vissa av ClamAV:s utvecklare kommer att svara på den listan.
• Antingen skapar du en ticket på deras officiella Github. Men för detta måste du vara utvecklare eftersom du måste ge mycket teknisk information i din ticket. Detta är inte för allmänheten.

Visste du detta?

SecuriteInfo.com erbjuder ytterligare antivirussignaturer för ClamAV. Detta ökar kraftigt upptäckten av malware och spam.


Not: ClamAV är ett registrerat varumärke av Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...