ClamAV antivirusunun (clamscan, clamdscan ve freshclam) kullanımı sırasında karşılaşılan en yaygın hataları açıklayacak ve çözeceğiz.
ClamAV'nin kaynaklarından derlenmesiyle ilgili derleme hataları burada ele alınmamaktadır.

clamdscan "Dosya veya dizin açılamıyor HATA"

Dosyaları veya dizinleri tararken, bazıları bu hatayı verebilir. Bu durumda, ilgili dosyalar taranmaz ve zararlı yazılım kontrolü geçilemez.
Bu, dizinlerin veya dosyaların izinlerinden kaynaklanabilir, bu nedenle clamdscan'ın bu dosyalara ve dizinlere okuma ve yazma izinlerine sahip olduğundan emin olmalısınız.
Ancak, bu aynı zamanda apparmor'dan da kaynaklanabilir. Çözüm, clamd'yi apparmor'un "complain" moduna almak olacaktır. İşte Debian için çözüm:

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "Dosya yolu kontrol hatası: İzin reddedildi. HATA"

Bu hatayı düzeltmek için aşağıdaki 3 çözümü deneyebilirsiniz:

• Tarama yapılan dosyalar ve dizinlere 666 izinleri vermek: chmod 666 *
• clamdscan'ı --fdpass seçeneğiyle kullanmak: clamdscan --fdpass
• clamdscan'ı --stream seçeneğiyle kullanmak: clamdscan --stream

freshclam günlüklerinde "Ignoring mirror (due to previous errors)"

Bu hata mesajı göründüğünde, antivirusun imza veritabanlarını indirmenizde sorun yaşandığını belirtir.
Bu mesaj, ClamAV 0.102'den önceki bir sürüme aittir.
0.102 sürümünden itibaren, freshclam'ın ağ kısmındaki kod köklü bir şekilde değiştirildi. Bu nedenle, bu hatayı çözmek için ClamAV sürümünüzü güncellemeniz gerekmektedir.

freshclam günlüklerinde "nonblock_connect: connect(): fd=5 errno=101: Ağ erişilemiyor" ve "WARNING: getpatch: Can't download daily-xxx.cdiff from db.local.clamav.net"

Bu mesaj, ClamAV sunucularına bağlanarak antivirus imza veritabanlarını indirmede başarısız olunduğunu gösterir.

• Sunucunuzun internet bağlantısıyla ilgili bir sorun olabilir.
• Bir proxy kullanıyor olabilirsiniz (şeffaf ya da değil). Freshclam, ClamAV sunucularına doğrudan bağlantıyı tercih eder ve Proxy bağlantılarını çok kötü destekler. Özellikle Proxy HTTP(S) bağlantı özelliklerini değiştiriyorsa, örneğin User-Agent'ı değiştiriyorsa.
• Veya çok eski bir ClamAV sürümü kullanıyor olabilirsiniz ve bunu güncellemeniz gerekmektedir.

freshclam günlüklerinde "WARNING: Can't read main.cvd header from db.local.clamav.net (IP: )"

Antivirusun imza veritabanlarını indirirken sorun yaşanıyor.
Mirrors.dat dosyasının dolmuş olması mümkün olabilir. Bu dosya, hatalı ClamAV aynalarına karşı kara listeye almak için kullanılır. Eğer bir internet bağlantısı kesintisi yaşadıysanız, freshclam tüm aynaları kara listeye almış olabilir ve artık hiçbiri mevcut olmayabilir.
Çözüm, bu dosyayı silmektir (örneğin, Debian için /var/lib/clamav/mirrors.dat) ve freshclam'ı yeniden başlatmaktır.

0.100 sürümlerinden itibaren bu sorun ortadan kalkmıştır. Yani, bu tür bir hata görüyorsanız, ClamAV'yi güncellemek önemlidir.

"WARNING: Message: SSL peer certificate or SSH remote key was not OK" freshclam günlüklerinde

Antivirusun imza veritabanlarını güncelleyemiyorsanız ve bu mesaj görünüyorsa,
Bilgisayarınızın saati doğru olmayabilir. Tarih ve saati NTP ile güncelleyin.

"ERROR: This tool requires libclamav with functionality level XXX or higher (current f-level: XXX)"

Sisteminizde 2 farklı libclamav sürümü yüklü olabilir. Bu, işletim sisteminiz tarafından sağlanan 2 farklı sürüm olabilir. O zaman eski olanı kaldırmanız yeterlidir. Ayrıca, ClamAV kaynak kodlarıyla yapılan bir kurulum ve işletim sistemi tarafından sağlanan bir sürüm karışımı da olabilir. Sistemde yalnızca bir libclamav sürümünün yüklü olduğundan emin olmalısınız.

"LibClamAV Error: yyerror()" ve "LibClamAV Warning: cli_loadyara: failed to parse or load 1 yara rules from file"

ClamAV, YARA formatında antivirüs imzalarını destekler. Ancak kullanılan Yara yorumlayıcısı, ClamAV'ye özgü ve dahili bir yorumlayıcıdır. Bu Yara yorumlayıcısı, resmi Yara yorumlayıcısıyla %100 uyumlu değildir.
Bazı YARA kuralları, ClamAV ile tam olarak çalışmaz.
Bu problemi çözmek için:

• Probleme neden olan YARA kuralını, ClamAV ile uyumlu hale getirecek şekilde yeniden yazabilirsiniz.
• Ya da yakın gelecekte ClamAV'nin Yara yorumlayıcısının iyileştirilmesini umabilirsiniz.

"LibClamAV Error" hataları, örneğin "LibClamAV Error: [scan_biff_for_xlm_macros] Unexpected state value 4" ClamAV kullanırken.

Bu hatalar oldukça spesifiktir ve ClamAV tarafından doğru şekilde işlenmeyen verilerin taranmasına dikkat çeker. Bu nedenle, bu bilgiyi ClamAV geliştirme ekibine resmi Github üzerinden iletmenizi tavsiye ederiz.

"LibClamAV Warning: fmap: map allocation failed", "LibClamAV Error: CRITICAL: fmap() failed" ve "Can't allocate memory ERROR" ClamAV kullanırken

Bu hata mesajı genellikle tarama sırasında yetersiz RAM belleği olduğunu gösterir. Yani:

• Yeterli belleğiniz yok, sunucunuzun veya VPS'nizin RAM belleğini artırmak iyi olabilir.
• Ya da çok büyük bir nesne tarıyorsunuz. Bunu önlemek için taranan nesnelerin boyutuna sınırlar koyun: komut satırında --max-filesize veya --max-scansize seçeneklerini kullanın.
• Ya da sistem dosyalarını veya dizinlerini tarıyorsunuz, örneğin Linux'taki /proc dizini. Bu yasaktır, bunu yapmayın.

"Segmentation fault (core dumped)" ClamAV kullanırken

Bu hata mesajı, şüphesiz en önemli hatadır. Bu, antivirus yazılımının o kadar şiddetli bir şekilde çökmesine neden olan bir hatadır ki, işletim sistemi ClamAV sürecini sonlandırmıştır.

Ancak bu mesaj çok genel olup, pek çok olası sebepten kaynaklanabilir, örneğin işletim sistemi yapılandırması, mevcut kaynaklar (RAM) veya ClamAV ile taramaya çalıştığınız nesne (çok büyük, veya sistem dosyası, örneğin /proc).

Bu nedenle, bu çöküşün kesin nedenini belirlemek mümkün değildir ve en iyi çözüm, bir hata raporu açmak için ClamAV geliştirme ekibine resmi Github üzerinden başvurmanızdır.

TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd

ClamAV daemon'ı çalışıyor, ancak TCP 3310 portu açık değil: "lsof -i|grep clamd" komutu hiçbir şey döndürmüyor.
Clamd başlatıldığında, aşağıdaki hata mesajı görünür: "TCP: No tcp AF_INET/AF_INET6 SOCK_STREAM socket received from systemd".

Çözüm, /etc/systemd/system/clamav-daemon.socket.d/ dizinini oluşturmak ve buraya /etc/systemd/system/clamav-daemon.socket.d/extend.conf dosyasını eklemektir:

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Sonrasında sunucunuzu yeniden başlatın.

ClamAV antivirusunun sonlandırma politikası (End-Of-Life veya EOL)

15 Aralık 2024'ten itibaren yalnızca ClamAV antivirusunun 1.0.x, 1.3.x ve 1.4.x sürümleri desteklenmekte ve bakım yapılmaktadır.
Eğer eski bir sürüm kullanıyorsanız, ClamAV artık çalışmamalıdır çünkü son veritabanı imzaları bu eski sürümlerle uyumlu değildir. Yani, ya ClamAV için ek imzalar kullanmalısınız, en azından Profesyonel sürüm, ya da acilen ClamAV antivirusunuzu güncellemelisiniz. Veya her ikisini birden yaparsanız, daha da iyi olur!
Bir adım daha ileri gitmek isterseniz, eski ClamAV sürümleri hakkında yazımızı okumanızı tavsiye ederim.

ClamWin antivirusu çalışmıyor

ClamWin, ClamAV antivirusunun bir Windows portudur ancak üçüncü bir tarafça yapılmıştır. Yani ClamWin, Cisco / Sourcefire ekipleri tarafından desteklenmemekte ve geliştirilmektedir. Maalesef, bu Windows antivirusu artık sahipleri tarafından geliştirilmemektedir ve son mevcut sürümü 0.103.2.1'dir. Önceki paragrafta belirtildiği gibi, 0.103 sürümleri artık ClamAV tarafından desteklenmemektedir, bu nedenle ClamAV, ClamWin için imza veritabanı indirmeyi geçersiz kılmıştır. Bu da onu tamamen etkisiz hale getirmektedir, bu yüzden ClamWin'i kurumsal kullanımlar veya üretim ortamlarında kullanmanız önerilmez.

Önerdiğimiz çözüm, ClamAV'nin resmi Windows sürümünü indirmenizdir. 32 bit ve 64 bit sürümleri mevcuttur. Evet, bu sürümde grafiksel bir GUI arayüzü yoktur, ancak ClamAV'nin komut satırı oldukça basittir ve diskinizi taramak için birkaç basit BAT dosyası gerekecektir.

Ayrıca, ClamAV antivirusunun Windows için resmi olmayan bir portu mevcuttur ve bu port, çok eski Windows sürümleriyle (WinNT ve Windows 98 gibi) çalışmasıyla ilginçtir! Ancak bu da komut satırıdır ve grafiksel bir arayüz yoktur.

SecuriteInfo.com imzaları ile 426 hatası

Eğer freshclam kullanarak bizim antivirüs imzalarımızı indirirken 426 hatası alıyorsanız, bu, ücretsiz bir hesabınızın ve eski bir ClamAV sürümünüzün olduğu anlamına gelir.

Çözüm, ClamAV kurulumunuzu güncellemek ya da "Profesyonel" bir abonelik seçmek ve imzalarımızı indirmektir. İkisini birden yaparak antivirüsünüzün zararlı yazılım tespiti yeteneklerini büyük ölçüde iyileştirebilirsiniz.

securiteinfoold.hdb dosyasını indiremiyorum veya 'nonblock_recv: recv timing out (30 secs)' veya 'Download failed (28) ... Message: Timeout was reached' hatalarını alıyorum

• ClamAV 0.102.2'den daha eski bir sürüm için, freshclam.conf dosyanıza "ReceiveTimeout 2400" ekleyin ve freshclam daemon'ını yeniden başlatın.


• ClamAV 0.102.2 ve üzeri sürümler için, freshclam.conf dosyanızdaki ReceiveTimeout'u silin ve freshclam daemon'ını yeniden başlatın.

ClamAV sürümünüzü güncelleyin

Gördüğünüz gibi, çoğu sorun ClamAV antivirusunu en son sürüme güncelleyerek çözülmektedir. Bunu yapmanın birkaç yolu vardır, çevrenize uygun olanı seçmeniz gerekecek.

• Eğer ClamAV'yi kaynaklardan derlediyseniz, yalnızca ClamAV'nin en son kaynak dosyalarını alıp kendi çevrenizde yeniden derlemeniz yeterlidir. Ancak, işletim sisteminizin sürümüne dikkat etmelisiniz: Eğer çok eski bir işletim sistemi kullanıyorsanız, ClamAV'nin son sürümü derleme hatalarına yol açabilir.


• Eğer elinizde bir ClamAV çalıştırılabilir sürümü varsa, örneğin ClamAV Windows için, sadece yeni sürümü içeren paketi yüklemeniz yeterlidir. Bu en basit çözümüdür!


• Eğer işletim sisteminiz ClamAV antivirusunu sağlıyorsa, ki bu çoğu Linux ortamında (Ubuntu, Debian, Red Hat, CentOS...) geçerlidir, işletim sisteminizi güncellemeniz zorunludur. Eğer bu güncelleme mümkün değilse çünkü çok zahmetliyse, işletim sisteminizden ClamAV paketini kaldırıp kaynaklardan ClamAV'yi indirip derlemenizi öneririz. Ancak, daha önce de belirttiğimiz gibi, çok eski bir işletim sistemi kullanıyorsanız, ClamAV'yi yeniden derlemek mümkün olmayabilir.

Daha ileri gitmek için, Eski ClamAV sürümü kullanmanın riskleri hakkında yazımızı okumanızı tavsiye ederiz.

SecuriteInfo.com desteği

Eğer ClamAV ile ilgili özel ihtiyaçlarınız varsa, örneğin bir bakım sözleşmesi, derleme desteği veya teknolojik izleme, lütfen bizimle iletişime geçin ve ihtiyaçlarınızı açıklayın. ClamAV ile antivirüs koruma ihtiyaçlarınıza cevap vermekten memnuniyet duyarız.

ClamAV Resmi Desteği

Eğer başka hata mesajlarınız varsa veya ClamAV geliştirme ekipleriyle doğrudan destek almak istiyorsanız, iki seçeneğiniz var:

• Ya resmi posta listesine kaydolur (yalnızca İngilizce) ve ardından sorunuzla ilgili bir e-posta gönderirsiniz. ClamAV topluluğu ve bazı geliştiriciler bu liste üzerinden size yanıt vereceklerdir.
• Ya da resmi Github üzerinde bir bilet oluşturursunuz. Ancak bunun için geliştirici olmalısınız çünkü biletinize çok teknik detay eklemeniz gerekecek. Bu, genel kullanıcılar için uygun bir seçenek değildir.

Biliyor muydunuz?

SecuriteInfo.com, ClamAV için ek antivirüs imzaları sunmaktadır. Bu, zararlı yazılımlar ve spamlerin tespiti konusunda büyük bir artış sağlar.


Not: ClamAV, Cisco tarafından tescillenmiş bir markadır

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...