Chúng tôi sẽ mô tả và giải quyết các lỗi thường gặp khi sử dụng phần mềm diệt virus ClamAV (clamscan, clamdscan và freshclam).
Các lỗi biên dịch ClamAV từ mã nguồn của nó sẽ không được đề cập ở đây.

clamdscan "Không thể mở tệp tin hoặc thư mục LỖI"

Khi bạn quét các tệp tin hoặc thư mục, có thể một số trong chúng gây ra lỗi này. Những tệp tin tương ứng sẽ không được quét và bỏ qua việc kiểm tra sự hiện diện của phần mềm độc hại.
Điều này có thể do quyền truy cập của thư mục hoặc tệp tin, vì vậy bạn cần kiểm tra xem clamdscan có quyền đọc và ghi trên các thư mục và tệp tin này không.
Tuy nhiên, điều này cũng có thể do AppArmor. Giải pháp là đặt clamd vào chế độ "complain" của AppArmor. Đây là giải pháp cho Debian :

apt-get install apparmor-utils
aa-complain /usr/sbin/clamd


clamdscan "Lỗi kiểm tra đường dẫn tệp tin: Quyền bị từ chối. LỖI"

Để sửa lỗi này, bạn có thể thử ba giải pháp sau :

• Đặt quyền cho các tệp tin và thư mục quét thành 666: chmod 666 *
• Sử dụng clamdscan với tùy chọn --fdpass: clamdscan --fdpass
• Sử dụng clamdscan với tùy chọn --stream: clamdscan --stream

"Bỏ qua mirror (do lỗi trước đó)" trong các bản ghi của freshclam

Khi thông báo lỗi này xuất hiện, có nghĩa là bạn không thể tải cơ sở dữ liệu chữ ký của phần mềm diệt virus.
Thông báo này tương ứng với phiên bản cũ hơn ClamAV 0.102.
Từ phiên bản 0.102 trở đi, mã phần mạng của freshclam đã được thay đổi hoàn toàn. Do đó, để giải quyết lỗi này, bạn cần cập nhật phiên bản ClamAV của mình.

"nonblock_connect: connect(): fd=5 errno=101: Mạng không thể truy cập" và "CẢNH BÁO: getpatch: Không thể tải daily-xxx.cdiff từ db.local.clamav.net" trong các bản ghi của freshclam

Thông báo này cho biết không thể kết nối với các máy chủ ClamAV để tải cơ sở dữ liệu chữ ký của phần mềm diệt virus.

• Hoặc là máy chủ của bạn có vấn đề kết nối Internet.
• Hoặc là bạn đang sử dụng một proxy (dù là proxy trực tiếp hay không). Freshclam ưu tiên kết nối trực tiếp với các máy chủ ClamAV và hỗ trợ rất kém các kết nối qua proxy. Đặc biệt nếu proxy thay đổi các thuộc tính của kết nối HTTP(S), ví dụ như thay đổi User-Agent.
• Hoặc là bạn đang sử dụng một phiên bản rất cũ của phần mềm diệt virus ClamAV, và bạn cần phải cập nhật nó.

"CẢNH BÁO: Không thể đọc tiêu đề main.cvd từ db.local.clamav.net (IP: )" trong các bản ghi của freshclam

Bạn không thể tải cơ sở dữ liệu chữ ký của phần mềm diệt virus.
Có thể tệp mirrors.dat đã bị đầy. Tệp này dùng để đưa vào danh sách đen các máy chủ mirror ClamAV bị lỗi. Nếu bạn đã bị mất kết nối Internet, có thể freshclam đã đưa tất cả các mirror vào danh sách đen và không còn mirror nào có sẵn.
Giải pháp là xóa tệp này (ví dụ: /var/lib/clamav/mirrors.dat cho Debian) và khởi động lại freshclam.

Lưu ý rằng kể từ phiên bản 0.100, vấn đề này không còn nữa. Vì vậy, nếu bạn thấy loại lỗi này, điều đó có nghĩa là bạn cần cập nhật ClamAV.

"CẢNH BÁO: Thông điệp: Chứng chỉ SSL peer hoặc khóa SSH từ xa không hợp lệ" trong các bản ghi của freshclam

Bạn không thể cập nhật cơ sở dữ liệu chữ ký của phần mềm diệt virus và thông báo này xuất hiện.
Có thể máy tính của bạn không được cài đặt đúng giờ. Hãy cập nhật ngày và giờ qua NTP.

"LỖI: Công cụ này yêu cầu libclamav với mức chức năng XXX hoặc cao hơn (mức f hiện tại: XXX)"

Có thể bạn đã cài đặt 2 phiên bản khác nhau của libclamav trên hệ thống của mình. Đây có thể là 2 phiên bản được cung cấp bởi hệ điều hành của bạn. Do đó, bạn chỉ cần xóa phiên bản cũ hơn. Điều này cũng có thể là một sự kết hợp giữa một cài đặt từ mã nguồn ClamAV và một phiên bản do hệ điều hành cung cấp. Bạn luôn cần đảm bảo rằng chỉ có một phiên bản libclamav được cài đặt trên hệ thống của mình.

"Lỗi LibClamAV: yyerror()" và "Cảnh báo LibClamAV: cli_loadyara: không thể phân tích hoặc tải 1 quy tắc yara từ tệp"

ClamAV hỗ trợ chữ ký phần mềm diệt virus ở định dạng YARA. Tuy nhiên, động cơ giải mã Yara được sử dụng là đặc biệt và nội bộ của ClamAV. Và động cơ Yara này không hoàn toàn tương thích với trình giải mã Yara chính thức.
Do đó, một số quy tắc YARA không hoạt động hoàn toàn với ClamAV.
Để giải quyết vấn đề này :

• Hoặc bạn viết lại quy tắc YARA gây ra vấn đề để làm cho nó tương thích với ClamAV.
• Hoặc bạn hy vọng rằng trong tương lai gần, động cơ Yara của ClamAV sẽ được cải thiện.

Các lỗi "Lỗi LibClamAV" như "Lỗi LibClamAV: [scan_biff_for_xlm_macros] Giá trị trạng thái bất ngờ 4" khi sử dụng ClamAV.

Các lỗi này rất đặc biệt và có thể làm nổi bật một vấn đề quét dữ liệu không được ClamAV xử lý đúng cách. Vì vậy, chúng tôi khuyến cáo bạn gửi thông tin này đến nhóm phát triển của ClamAV qua Github chính thức.

"Cảnh báo LibClamAV: fmap: phân bổ bản đồ thất bại", "Lỗi LibClamAV: CRITICAL: fmap() thất bại" và "Không thể cấp phát bộ nhớ LỖI" khi sử dụng ClamAV

Thông báo lỗi này thường chỉ ra rằng thiếu bộ nhớ RAM khi quét. Vì vậy :

• Hoặc bạn không có đủ bộ nhớ, nên nâng cấp bộ nhớ RAM cho máy chủ hoặc VPS của bạn.
• Hoặc bạn đang quét một đối tượng quá lớn. Để tránh điều này, hãy giới hạn kích thước các đối tượng được quét: --max-filesize hoặc --max-scansize trong dòng lệnh
• Hoặc bạn đang quét các tệp hoặc thư mục hệ thống, như thư mục /proc trên Linux. Điều này là cấm, đừng làm vậy.

"Lỗi phân mảnh (core dumped)" khi sử dụng ClamAV

Thông báo lỗi này có lẽ là quan trọng nhất. Nó chỉ ra rằng phần mềm diệt virus đã gặp sự cố nghiêm trọng đến mức hệ điều hành đã dừng tiến trình ClamAV.

Tuy nhiên, thông báo này quá chung chung và có thể có nhiều nguyên nhân khác nhau, ví dụ như cấu hình hệ điều hành của bạn, tài nguyên khả dụng (RAM) hoặc đối tượng bạn đang cố gắng quét với ClamAV (quá lớn, hoặc tệp hệ thống từ /proc chẳng hạn).

Do đó, không thể xác định chính xác nguyên nhân gây ra sự cố này, và giải pháp tốt nhất là mở một ticket lỗi cho nhóm phát triển ClamAV trên Github chính thức.

TCP: Không nhận được tcp AF_INET/AF_INET6 SOCK_STREAM socket từ systemd

Demon ClamAV đang chạy, nhưng cổng TCP 3310 không mở: lệnh "lsof -i|grep clamd" không trả về kết quả gì.
Khi khởi động clamd, thông báo lỗi sau sẽ xuất hiện: "TCP: Không nhận được tcp AF_INET/AF_INET6 SOCK_STREAM socket từ systemd".

Giải pháp là tạo thư mục /etc/systemd/system/clamav-daemon.socket.d/ và sau đó đặt tệp /etc/systemd/system/clamav-daemon.socket.d/extend.conf vào đó :

cat /etc/systemd/system/clamav-daemon.socket.d/extend.conf
[Socket]
SocketUser=clamav
ListenStream=3310

Sau đó khởi động lại máy chủ của bạn.

Chính sách kết thúc vòng đời (End-Of-Life hoặc EOL) của phần mềm diệt virus ClamAV

Kể từ ngày 15 tháng 12 năm 2024, chỉ có các phiên bản 1.0.x, 1.3.x và 1.4.x của phần mềm diệt virus ClamAV được hỗ trợ và duy trì.
Nếu bạn đang sử dụng phiên bản cũ hơn, ClamAV sẽ không còn hoạt động vì các cơ sở dữ liệu chữ ký mới nhất không còn tương thích với các phiên bản cũ này. Vì vậy, bạn nên sử dụng các chữ ký bổ sung cho ClamAV, ít nhất là phiên bản Chuyên nghiệp, hoặc bạn cập nhật gấp phần mềm diệt virus ClamAV của mình. Hoặc cả hai, điều này sẽ tốt hơn rất nhiều!
Để đi xa hơn, tôi khuyên bạn đọc bài viết của chúng tôi về các phiên bản cũ của phần mềm diệt virus ClamAV.

Phần mềm diệt virus ClamWin không còn hoạt động

ClamWin là một phiên bản của ClamAV dành cho Windows, nhưng do một bên thứ ba phát triển. Vì vậy, ClamWin không được hỗ trợ và phát triển bởi các nhóm của Cisco / Sourcefire. Đáng tiếc, phần mềm diệt virus này không còn được chủ sở hữu phát triển và phiên bản mới nhất có sẵn là phiên bản 0.103.2.1. Như đã đề cập ở đoạn trước, các phiên bản 0.103 không còn được ClamAV hỗ trợ, vì vậy ClamAV đã vô hiệu hóa việc tải xuống cơ sở dữ liệu chữ ký cho ClamWin. Điều này làm cho nó hoàn toàn không hiệu quả, do đó, không nên sử dụng ClamWin trong môi trường doanh nghiệp hoặc môi trường sản xuất.

Giải pháp chúng tôi khuyến cáo là tải xuống phiên bản chính thức của ClamAV dành cho Windows. Có sẵn phiên bản 32bit và 64bit. Mặc dù phiên bản này không có giao diện đồ họa GUI, nhưng dòng lệnh của ClamAV không quá phức tạp và một vài tệp BAT đơn giản sẽ cần thiết để tự động hóa việc quét ổ cứng của bạn.

Cũng có một phiên bản không chính thức của ClamAV dành cho Windows thú vị vì nó có thể hoạt động với các phiên bản Windows rất cũ (WinNT và Windows 98!). Nhưng đây vẫn là dòng lệnh, và không có giao diện đồ họa.

Lỗi 426 với các chữ ký từ SecuriteInfo.com

Nếu bạn gặp lỗi 426 khi sử dụng freshclam để tải các chữ ký phần mềm diệt virus của chúng tôi, điều đó có nghĩa là bạn có một tài khoản miễn phí và một phiên bản ClamAV đã lỗi thời.

Giải pháp là cập nhật cài đặt ClamAV của bạn hoặc chọn một gói "Chuyên nghiệp" để tải các chữ ký của chúng tôi. Hoặc làm cả hai để cải thiện đáng kể khả năng phát hiện phần mềm độc hại của cài đặt của bạn.

Tôi không thể tải xuống securiteinfoold.hdb, hoặc tôi gặp lỗi 'nonblock_recv: recv timing out (30 secs)' hoặc 'Download failed (28) ... Message: Timeout was reached'

• Đối với ClamAV cũ hơn 0.102.2, thêm "ReceiveTimeout 2400" vào tệp freshclam.conf của bạn và khởi động lại demon freshclam.


• Đối với ClamAV 0.102.2 và các phiên bản cao hơn, xóa ReceiveTimeout khỏi tệp freshclam.conf của bạn và khởi động lại demon freshclam.

Cập nhật phiên bản ClamAV của bạn

Như bạn thấy, hầu hết các vấn đề đều được giải quyết bằng cách cập nhật phần mềm diệt virus ClamAV lên phiên bản mới nhất. Có nhiều phương pháp để thực hiện việc này, bạn có thể chọn phương pháp phù hợp với môi trường của bạn.

• Nếu bạn đã biên dịch lại ClamAV từ mã nguồn của nó, chỉ cần lấy phiên bản mới nhất của các tệp mã nguồn ClamAV và biên dịch lại trong môi trường của bạn. Tuy nhiên, hãy chú ý đến phiên bản hệ điều hành của bạn: nếu bạn đang sử dụng hệ điều hành quá cũ, có thể phiên bản mới nhất của ClamAV sẽ gây ra lỗi biên dịch.


• Nếu bạn có phiên bản thực thi của ClamAV, chẳng hạn như với ClamAV cho Windows, chỉ cần cài đặt gói chứa phiên bản mới nhất của tệp thực thi. Đây là giải pháp đơn giản nhất!


• Nếu hệ điều hành của bạn đã cung cấp ClamAV, như trong hầu hết các môi trường Linux (Ubuntu, Debian, Red Hat, CentOS...), thì bạn cần phải cập nhật hệ điều hành của mình. Nếu việc cập nhật này không khả thi vì quá khó khăn, chúng tôi khuyên bạn xóa gói ClamAV khỏi hệ điều hành của bạn và cài đặt, sau đó biên dịch lại ClamAV từ mã nguồn. Nhưng như đã đề cập trước đó, nếu hệ điều hành của bạn quá cũ, ClamAV có thể không thể biên dịch lại.

Để đi xa hơn, chúng tôi khuyên bạn đọc bài viết của chúng tôi Chúng ta có thể gặp rủi ro gì khi sử dụng phiên bản cũ của phần mềm diệt virus ClamAV?

Hỗ trợ từ SecuriteInfo.com

Nếu bạn có nhu cầu cụ thể liên quan đến ClamAV, chẳng hạn như hợp đồng bảo trì, hỗ trợ biên dịch hoặc theo dõi công nghệ, đừng ngần ngại liên hệ với chúng tôi và giải thích nhu cầu của bạn. Chúng tôi sẽ rất vui khi có thể đáp ứng nhu cầu bảo vệ phần mềm diệt virus của bạn bằng ClamAV.

Hỗ trợ chính thức của ClamAV

Nếu bạn gặp phải các thông báo lỗi khác hoặc nếu bạn muốn có sự hỗ trợ trực tiếp từ các nhóm phát triển ClamAV, bạn có hai lựa chọn :

• Hoặc bạn đăng ký vào danh sách email chính thức (chỉ có tiếng Anh) và sau đó có thể gửi câu hỏi của bạn qua email. Cộng đồng và một số nhà phát triển của ClamAV sẽ trả lời bạn trong danh sách này.
• Hoặc bạn tạo một ticket trên Github chính thức của họ. Tuy nhiên, để làm điều này bạn cần phải là nhà phát triển vì bạn sẽ phải cung cấp nhiều thông tin kỹ thuật cho ticket của mình. Đây không phải là lựa chọn dành cho công chúng.

Quý vị có biết không?

SecuriteInfo.com cung cấp chữ ký phần mềm diệt virus bổ sung cho ClamAV. Điều này giúp tăng cường khả năng phát hiện phần mềm độc hại và spam rất nhiều.


Ghi chú: ClamAV là thương hiệu đã đăng ký của Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...