FAQ



Официальные FAQ

Это официальные FAQ. Пожалуйста, смотрите другие FAQ на нашем вики. Одобряется делать в него вклад. Команда ClamAV постоянно следит за той страницей и будет добавлять лучшие вопросы сюда.

Обновление ClamAV

  • Как мне обновлять ClamAV?
    • Посетите наш вики. Эту страницу может редактировать каждый. Если вы умелый сисадмин, пожалуйста, сделайте туда вклад.
  • Что означает WARNING: Current functionality level = 1, required = 2?
    • Уровень функциональности базы данных определяет, какая версия механизма сканера нужна, чтобы использовать все её сигнатуры. Если вы не обновите механизм немедленно, то будете пропускать последние вирусы.
  • Что означает Your ClamAV installation is OUTDATED?
    • Вы будете получать это сообщение всякий раз, когда выходит новая версия ClamAV. Чтобы обнаруживать все последние вирусы, недостаточно сохранять обновлённой вашу базу данных. Вам также нужно запускать последнюю версию сканера. Вы можете загрузить исходные тексты последнего выпуска с нашего веб-сайта. Инструкции по обновлению находятся на вики. Если вы боитесь нарушить что-нибудь во время обновления, используйте сборки для вашей операционной системы/варианта распространения. Помните: запуск последнего стабильного выпуска также улучшает стабильность.
  • Я обновил программу до последней стабильной версии, но по-прежнему получаю сообщение Your ClamAV installation is OUTDATED. Почему?
    • Убедитесь, что в вашей системе установлена только одна версия ClamAV: 
         $ whereis freshclam
   $ whereis clamscan
    • Также убедитесь, что в вашей файловой системе нет старых библиотек (libclamav.so*). Вы можете проверить это, используя $ ldd `which freshclam`.
  • Как мне проверить целостность исходных текстов ClamAV?
    • Используя GnuPG, вы можете легко проверить подлинность загруженного стабильного выпуска следующим методом. Загрузите ключ Tomasz Kojm с сайта clamav.net. Внесите ключ в ваш keyring-файл общедоступных ключей: $ gpg --import tkojm.gpg. Загрузите стабильный выпуск И соответствующий .sig-файл в один и тот же каталог. Проверьте, что загруженный стабильный выпуск подписан ключом Tomasz Kojm: $ gpg --verify clamav-X.XX.tar.gz.sig. Пожалуйста, заметьте, что полученный вывод ДОЛЖЕН содержать следующее: Good signature from Tomasz Kojm!
  • Поддерживается ли мой (-ё, я) компилятор/оборудование/операционная система ClamAV’ом?
    • ClamAV поддерживает широкий ряд компиляторов, оборудования и операционных систем. Наш основной компилятор — gcc с Linux на 32 или 64-битных платформах Intel, хотя мы также проверяем использование других компиляторов, включая C-компилятор Sun, Visual Studio Microsoft’а, C-компилятор Intel и другие. Сегодня мы нашли только один компилятор, который мы не поддерживаем, — GCC версии 4.0.0 до 4.1.0 включительно. Мы обнаружили, что эта версия компилятора производит некорректный код на всех платформах и операционных системах, на которых мы её проверяли. ClamAV не будет работать, используя этот компилятор, и вы ДОЛЖНЫ перейти к альтернативе, такой как GCC3.4 или GCC4.1. Пожалуйста, свяжитесь с вашим поставщиком, чтобы узнать больше. Пожалуйста, обратитесь к bugzilla gcc, чтобы узнать больше. Если вы хотите видеть доказательство того, что gcc 4.0.1 генерирует неправильный код для ядра, читайте относящуюся к этому статью на kerneltrap. Большая информация об этом дефекте также доступна в нашей bugzilla . Наши скрипты configure обнаружат, если ваш компилятор затронут этим дефектом, и откажутся генерировать нерабочий двоичный файл со следующим сообщением об ошибке: your compiler has gcc PR26763-2 bug, use a different compiler.

Обновление вирусной базы данных ClamAV

  • Что означает WARNING: DNS record is older than 3 hours?
    • freshclam пытается обнаружить возможные проблемы с DNS-кэшами и переключается в старый режим, если что-то выглядит подозрительным. Если это сообщение появляется редко, его можно игнорировать. Если вы получаете ошибку каждый раз, когда запускаете freshclam, проверьте ваши системные часы. Если они установлены правильно, проверьте ваши настройки DNS. Если это не помогло, попробуйте поместить это наверх в вашем задании cron:
       host -t txt current.cvd.clamav.net; perl -e 'printf "%d\n", time;'
      Четвёртое поле первой строки должно быть меньше, чем на 3 ∗ 3600, перед выводом второй строки. Если это не так, ваш кэширующий DNS-сервер где-то поступает неправильно.
  • Как часто обновляется вирусная база данных?
    • Вирусная база данных обычно обновляется много раз в неделю. Посмотрите на http://lurker.clamav.net/list/clamav-virusdb.html время нашей реакции на новые угрозы. Группа вирусной ДБ старается не отставать от самых последних червей в мире. Часто мы выпускаем обновление базы данных меньше, чем за час после начала распространения нового червя. Вы можете сделать процесс обновления вирусной ДБ более эффективным, передавая образцы вирусов через наш веб-интерфейс.
  • Сколько раз в час я должен запускать freshclam?
    • Если у вас запущен ClamAV 0.7x, пожалуйста, обновите его СЕЙЧАС. Если у вас запущен ClamAV 0.8x или более поздний, вы можете проверять наличие обновления базы данных 4 раза в час, при условии что в вашем freshclam.conf есть следующие параметры: DNSDatabaseInfo current.cvd.clamav.net DatabaseMirror db.XY.clamav.net DatabaseMirror database.clamav.net. Замените XY на ваш код страны. Если у вас нет этих параметров, вы должны делать одну проверку в час.
  • Я пытался послать образец через веб-интерфейс, но он говорит, что образец уже распознаётся ClamAV. Мой clamscan говорит, что нет. Я уже обновил свою базу данных и механизм ClamAV. Что не так с моими установками?
    • Пожалуйста, запустите clamscan с параметром --detect-broken. Также проверьте, что freshclam и clamscan используют один и тот же путь для хранения/чтения базы данных.
  • Я нашёл заражённый файл на моём HD/моей дискете/в моём почтовом ящике, но ClamAV его ещё не распознаёт. Вы можете мне помочь?
    • Наша вирусная база данных сохраняется актуальной благодаря помощи общества. Когда вы находите новый вирус, который не распознаётся ClamAV, желательно заполнить эту форму. Группа вирусной ДБ проверит ваше представление и обновит базу данных при необходимости. До передачи нового образца: проверьте, что значение DatabaseDirectory одинаково и в clamd.conf, и в freshclam.conf; обновите базу данных, запустив freshclam.
  • Как мне поддерживать свою вирусную базу данных обновлённой?
    • В ClamAV есть freshclam — инструмент, который периодически проверяет наличие новых выпусков базы данных и поддерживает базу данных обновлённой.
  • Я получаю такую ошибку при запуске freshclam: Invalid DNS reply. Falling back to HTTP mode или ERROR: Can’t query current.cvd.clamav.net. Что это значит?
    • Проблема с вашим DNS-сервером. Пожалуйста, проверьте записи в /etc/resolv.conf и убедитесь, что вы можете получать TXT-записи вручную: $ host -t txt current.cvd.clamav.net. Если вы не можете, значит, ваша сеть нарушена. Вы всё же сможете загружать обновления, но вы будете тратить много пропускной способности, проверяя наличие обновлений.
  • При запуске freshclam я получаю такую ошибку: ERROR: Connection with ??? failed. Что мне делать?
    • Или не работают ваши DNS-серверы, или вы блокируете порт 53/tcp. Вам следует проверить вручную, что вы можете получать имена хостов: $ host database.clamav.net. Если это не работает, проверьте ваши настройки DNS в /etc/resolv.conf. Если это работает, проверьте что вы можете получать DNS-ответы больше 512 байтов: напр., проверьте, что ваш брандмауэр не блокирует пакеты, посланные с порта 53/tcp. Простой способ узнать это: $ dig @ns1.clamav.net db.us.big.clamav.net.
  • Как мне узнать, внесён ли мой IP-адрес в чёрный список?
    • Попробуйте загрузить daily.cvd lynx’ом или wget’ом на той же машине, на которой запускается freshclam. Будущие версии freshclam предоставят лучший способ для этого.
  • Для чего нужен файл mirrors.dat?
    • mirrors.dat используется freshclam’ом, чтобы отслеживать нарушенные зеркала. Это устраняет ненужные задержки, вызванные попыткой загрузить CVD-обновление с зеркала, которое было недоступно много раз за последние 24 часа.
  • У меня запущен ClamAV на многих клиентах в моей локальной сети. Можно ли использовать cvd-файлы на локальном сервере, чтобы каждому клиенту не нужно было загружать их с ваших серверов?
    • Конечно, есть два возможных решения.
    • Если вы хотите иметь возможность обновления наращением, установите прокси-сервер и настройте freshclam на клиентах на его использование (смотрите параметр HTTPProxyServer в man freshclam.conf).
    • Второе возможное решение — настроить локальный веб-сервер на одной из ваших машин (скажем, machine1.mylan) и позволить freshclam’у загружать *.cvd-файлы с http://database.clamav.net в DocumentRoot веб-сервера. Наконец измените freshclam.conf на ваших клиентах так, чтобы в нём было:
    • DatabaseMirror machine1.mylan
    • Сначала база данных будет загружаться на локальный веб-сервер, а затем другие клиенты в сети будут обновлять их копию базы данных с него. Чтобы это работало, вы должны добавить ScriptedUpdates off на всех ваших машинах!
  • Я не могу ждать, пока вы обновите базу данных! Мне нужно использовать новую сигнатуру СЕЙЧАС!
    • Нет проблем, сохраните ваши собственные сигнатуры в текстовый файл с соответствующим расширением (дополнительную информацию смотрите в signatures.pdf). Поместите его в тот же каталог, где находятся .cvd-файлы. ClamAV загрузит его после официальных .cvd-файлов. Вам не нужно подписывать .db-файл.
  • Могу ли я загрузить вирусную ДБ вручную?
    • Да, вирусная ДБ может быть загружена из раздела Latest releases на нашей домашней странице.
  • Я не могу получить адрес current.cvd.clamav.net! Это проблема с вашими/моими DNS-серверами?
    • current.cvd.clamav.net имеет только TXT-запись, не запись типа A! Попробуйте эту команду: $ host -t txt current.cvd.clamav.net. Пожалуйста, заметьте, что некоторые не RFC-совместимые DNS-серверы (а именно, поставляемый с модемом Alcatel (сейчас Thomson) SpeedTouch 510) не могут получать TXT-записи. В таком случае, пожалуйста, пересоберите ClamAV с параметром --enable-dns-fix.

Устранение неполадок

  • Я получаю сообщение об ошибке после отчёта на http://bugs.clamav.net: вы можете устранить эту ошибку?
    • Если вы хотите, чтобы мы устранили ошибку, вам нужно прислать нам сообщение об ошибке и файл, который вызвал её. Без файла ваш отчёт полностью бесполезен для нас. Независимо от выводимого сообщения предпочтительный способ передавать отчёты об ошибках теперь — использовать наш интерфейс bugzilla.
  • ClamAV не работает! Он не добавляет никаких заголовков к сообщениям, которые передаются через мой почтовый сервер.
    • ClamAV — это антивирус, и его задача — сканировать файлы, а не делать что-нибудь с вашими почтовыми заголовками. Чтобы использовать ClamAV с вашим MTA, вам нужна программа-фильтр содержания. Если вы используете clamav-milter, можете попросить о помощи в наших списках рассылки. Если вы используете какую-то другую программу-фильтр, найдите адрес официального списка рассылки (если он есть) или обратитесь к автору.
  • ClamAV аварийно останавливается/зависает/не собирается/не запускается. Я нашёл ошибку?
    • Прежде чем сообщать об ошибке, пожалуйста, загрузите последний SVN-код и попробуйте воспроизвести ошибку с ним. Может быть, ошибка, с которой вы столкнулись, уже устранена. Если вы действительно чувствуете, что нашли ошибку, пожалуйста, посетите наш интерфейс bugzilla. Прежде чем передать вашу ошибку, проверьте, нет ли уже подобного отчёта.
  • Как мне запускать clamd при загрузке?
    • Если вы устанавливали ClamAV из сборки или коллекции сторонних программ, у вас уже есть скрипт, который запускает clamd при загрузке. Если вы сами собирали ClamAV, посмотрите каталог contrib/init/ в наборе исходных текстов.
  • Как мне автоматически перезапускать clamd, когда он перестаёт работать?
    • Добавьте задание cron, которое каждые XX минут будет проверять, что clamd запущен и работает. Вы можете найти пример в каталогах contrib/clamdmon/ и contrib/clamdwatch/. Вы также можете проверить clamd из командной строки простым: 
      echo PING|socat - /tmp/clamd
  • Как мне автоматически перезапускать clamav-milter, когда он перестаёт работать?
    • Добавьте задание cron, которое каждые XX минут будет проверять, что clamav-milter запущен и работает. Вы можете найти пример на http://www.itg.uiuc.edu/itg_software/clmilter_watch/.
  • Что означает SECURITY WARNING: NO SUPPORT FOR DIGITAL SIGNATURES?
    • Набору ClamAV необходима библиотека GMP, чтобы проверять цифровую подпись вирусной базы данных. Вам нужна библиотека GMP и её заголовки при построении ClamAV: если вы используете Debian, просто запустите apt-get install libgmp3-dev; если вы используете вариант распространения, основанный на RPM, установите сборку gmp-devel. Вам нужно будет перезапустить ./configure и пересобрать ClamAV.
  • Как я могу вывести список названий вирусных сигнатур, содержащихся в базе данных?
    • Если вы используете свежую версию ClamAV, просто запустите: $ sigtool --list-sigs.
  • Как мне узнавать, когда выпускаются обновления базы данных?
    • Подпишитесь на список рассылки clamav-virusdb.
  • Я нашёл ложный положительный результат в базе данных ClamAV. Что мне делать?
  • Нагрузка на моём почтовом сервере просто очень высокая, clamscan тратит больше 20 секунд, чтобы проверить одно электронное почтовое сообщение. Что мне сделать?
    • Перейдите на clamd/clamdscan, чтобы избежать перегрузки от загрузки CVD каждый раз, когда приходит сообщение.

Использование списков рассылки ClamAV

  • Где я могу задать вопросы об использовании ClamAV?
    • Подпишитесь на наш список рассылки clamav-users.
  • Я хочу принять участие в разработке ClamAV. Где я могу получить дополнительную информацию?
    • Подпишитесь на список рассылки clamav-devel.
  • От списков рассылки приходит слишком много сообщений в день. Я не могу справиться с ними. Что мне делать?
  • Я отправил сообщение в один из списков рассылки ClamAV, но письмо было отвергнуто/задержано для рассмотрения. Почему?
    • Только подписчики могут отправлять сообщения в список рассылки. Это делается, чтобы избежать спаммеров. Пожалуйста, проверьте, что ваши исходящие сообщения начинаются со строки, подобной следующей: Return-Path: me@mydomain.com, где me@mydomain.com — почтовая учётная запись, которую вы используете для подписки на список рассылки. Вы можете подписаться несколько раз, с разными почтовыми адресами и запретить доставку почты. Вы сможете отправлять сообщения в списки рассылки, помещая любой из этих адресов в Return-Path.
  • Я читаю список рассылки через новостной шлюз Gmane. Могу ли я отправлять сообщения в список рассылки?
    • Смотрите предыдущий FAQ.
  • Я был отписан от одного из списков рассылки. Что произошло?
    • Возможны две причины. Если для вашей учётной записи приходит слишком много отказов, вы будете автоматически отписаны. Пожалуйста, подпишитесь снова с более надёжной учётной записью. Если мы получим хотя бы одно уведомление out of office от вашей программы vacation, ваш адрес будет отписан и навсегда запрещён для наших списков рассылки. Простите за это, просто вокруг слишком много тупых людей.
  • Как мне запретить доставку почты от списка рассылки, на который я подписан?
    • Допустим, вы подписаны на clamav-users. Зайдите на http://lists.clamav.net/mailman/listinfo/clamav-users и введите ваш почтовый адрес в низу страницы. Щёлкните по Unsubscribe or edit options. На следующей странице введите ваш пароль и нажмите Log in. Под Your clamav-users Subscription Options выберите Disabled напротив Mail delivery и нажмите Submit My Changes в низу страницы.

Разное

  • Может ли фишинг рассматриваться как один из видов спама? Не желательно, чтобы ClamAV определял его как вид злонамеренных программ.
    • Начиная с выпуска 0.90, ClamAV позволяет вам выбрать, определять ли фишинг как вид злонамеренных программ. Это должно положить конец бесконечным обсуждениям в наших списках рассылки. Хватит, и спасибо за весь фишинг.
  • Можно ли преобразовать базу данных из нового формата в старый?
    • Да, установите свежую версию sigtool и запустите sigtool --unpack-current daily.cvd; sigtool --unpack-current main.cvd.
  • Как посмотреть CVD-файлы внутри?
    • Смотрите предыдущий FAQ.
  • Я использую ClamAV в производственной среде, и новый вирус не распознаётся ClamAV’ом. Как долго мне нужно ждать, пока ClamAV сможет начать фильтровать вирус?
    • Вообще нисколько! Найдите сигнатуру для этого вируса и соответственно измените вашу базу данных (смотрите signatures.pdf в каталоге doc/). Не забудьте передать образец группе вирусной ДБ.
  • Почему ClamAV называет вирус XXX по-другому?
    • Обычно это происходит, когда мы добавляем сигнатуру раньше других производителей AV. В этот момент нет хорошо известного названия, так что нам приходится придумывать своё. Переименование вируса через несколько дней только ещё больше запутает людей, поэтому обычно мы сохраняем наше название для этого вируса. Единственное исключение: когда новое название устанавливается вскоре после добавления сигнатуры.
  • Я получаю много ложных положительных результатов Oversized.zip.
    • Когда файл превышает ArchiveMaxCompressionRatio (смотрите страницу руководства clamd.conf), он рассматривается как логическая бомба и отмечается как Oversized.zip. Попробуйте увеличить настройку ArchiveMaxCompressionRatio.
  • Что такое PUA? Я получаю много ложных положительных результатов, названных PUA.*
    • С выпуском ClamAV 0.91.2 мы вводим возможность сканировать на наличие Potentially Unwanted Applications (Возможно Нежелательных Приложений). База данных PUA содержит обнаружение для приложений, которые не вредоносны сами по себе, но могут быть использованы во вредоносном или нежелаемом контексте. Как пример: инструмент, чтобы доставать пароли из системы, может быть полезен, пока лицу, которое использует его, разрешено делать так. Однако тот же инструмент может быть использован, чтобы похищать пароли из системы. Чтобы использовать базу данных PUA, вы можете использовать переключатель—detect-pua для clamscan или включить это в конфигурационном файле для clamd (добавьте: DetectPUA yes). В настоящее время мы НЕ рекомендуем использование этого в производственных средах, потому что способ обнаружения может быть слишком агрессивным и вести к ложным положительным результатам. В одном из следующих выпусков мы предоставим дополнительные возможности для тонкой настройки, позволяющие лучшие подстройки к разным установкам. ЗАМЕЧАНИЕ: Обнаружение как PUA НЕ говорит, хорошо или плохо приложение. Все, о чём это говорит, — это то, что файл, ВОЗМОЖНО, нежелателен или, ВОЗМОЖНО, мог бы подвергнуть риску безопасность вашей системы и, ВОЗМОЖНО, хорошая идея — проверить его дважды.
  • Может ли ClamAV дезинфицировать файлы?
    • Нет, не может. Мы добавим возможность дезинфекции OLE2-файлов в одном из следующих стабильных выпусков. Планов по дезинфекции других типов файлов нет. Для этого много причин: очистка файлов от вирусов в наши дни фактически бессмысленна. После очистки очень редко остаётся что-нибудь полезное, а если и останется, будете ли вы этому доверять?
  • Есть ли способ узнать, какое сообщение в mbox заражено, при использовании clamscan?
    • Есть два решения: запустите clamscan --debug, ищите Deal with email number xxx. Также вы можете преобразовать mbox в формат Maildir, запустить clamscan на нём, а затем преобразовать его обратно в формат mbox. Есть много инструментов, которые могут преобразовывать в и из формат(а) Maildir: formail, mbox2maildir и maildir2mbox.
  • У меня запущены ClamAV + amavisd-new, и в моём журнале почты появляется следующая ошибка: amavis: Clam Antivirus-clamd FAILED – unknown status:/var/lib/amavis/amavis-20060917T120205-21416/parts: lstat() failed. ERROR\n amavis: WARN: all primary virus scanners failed, considering backups. Что не так?
    • Пожалуйста, смотрите вики.
  • У меня запущены Qmail + Qmail-Scanner + ClamAV, и в моих журналах почты появляется следующая ошибка: clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem. Что с ним не так?
    • Пожалуйста, смотрите вики.
  • Как мне использовать ClamAV с p3scan?
    • Пожалуйста, смотрите вики.
  • Какие платформы он поддерживает?
    • Clam AntiVirus работает с Linux®, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X, Cygwin B20 на многих архитектурах, таких как Intel, Alpha, Sparc, корпуса Cobalt MIPS, PowerPC, RISC 6000.
  • Где я могу найти дополнительную информацию о ClamAV?
    • Пожалуйста, читайте полную документацию в формате pdf/ps. Вы найдёте её в каждой сборке или в разделе документации этого веб-сайта. Вы также можете попробовать поискать в архивах списков рассылки. Если вы не можете найти ответ, можете попросить о поддержке в списке рассылки clamav-users, но, пожалуйста, поищите в архивах, прежде чем делать это! Также убедитесь, что вы не отправляете HTML-сообщения и не пишете ответ перед исходным сообщением: это нарушает сетевой этикет и уменьшает ваши шансы на ответ.

Последнее обновление: 10 февраля 2007 г.

Мы делаем всё зависящее от нас, чтобы сохранять актуальной локализованную версию этого веб-сайта, однако это не всегда возможно. Пожалуйста, смотрите последнюю информацию в английской версии.