EN
RUПредыстория
В марте 2022 года компания Cisco Talos, разработчик свободного антивируса ClamAV, заблокировала обновление антивирусных баз с российских IP-адресов. Официальный CDN database.clamav.net и большинство зеркал начали возвращать ошибки 403 Forbidden или Couldn't connect to server при попытке выполнить freshclam.
Фактически это означает: ClamAV на российских серверах перестал получать актуальные сигнатуры вирусов. Антивирус работает, но с устаревшими базами — что серьёзно снижает уровень защиты.
Как проявляется проблема
При запуске freshclam администратор видит примерно следующее:
textWARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.103.11 Recommended version: 1.0.9
WARNING: Download failed (7) WARNING: Message: Couldn't connect to server
WARNING: downloadPatch: Can't download daily-27921.cdiff
или, если уже настроено альтернативное зеркало:
textWARNING: FreshClam previously received error code 403 from the ClamAV CDN.
WARNING: You are still on cool-down until after: 2026-02-24 17:22:44
Характерные признаки именно российской блокировки, а не технической проблемы:
- DNS-запросы к
current.cvd.clamav.netпроходят успешно — версии баз определяются корректно - TCP-соединение с серверами устанавливается — но в ответ приходит
403 Forbidden - Зеркала вне РФ (
packages.microsoft.com,pivotal-clamav-mirror.s3.amazonaws.com) тоже недоступны или блокируют запросы
Решение: российские зеркала ClamAV
Для российских серверов существуют специально созданные зеркала, которые регулярно синхронизируют базы и раздают их без географических ограничений.
Шаг 1. Редактируем freshclam.conf
bashnano /etc/freshclam.conf
Находим и комментируем все существующие строки DatabaseMirror и PrivateMirror, затем добавляем в конец файла:
text# Российские зеркала ClamAV
PrivateMirror https://clamav-mirror.ru/
PrivateMirror https://mirror.truenetwork.ru/clamav/
PrivateMirror http://mirror.truenetwork.ru/clamav/
# Загружать полные CVD-файлы вместо инкрементальных патчей
ScriptedUpdates no
Почему необходим ScriptedUpdates no
По умолчанию freshclam обновляет базы инкрементально — скачивает только .cdiff-патчи к уже имеющимся версиям. Российские зеркала раздают только полные .cvd-файлы без инкрементальных патчей. Если оставить ScriptedUpdates yes, freshclam будет безуспешно искать .cdiff и падать с ошибкой, хотя полный файл доступен. Параметр ScriptedUpdates no переключает загрузку именно на полные архивы.
Шаг 2. Сбрасываем кэш и обновляем
bashrm -f /var/lib/clamav/freshclam.dat
rm -rf /var/lib/clamav/tmp.*
freshclam -vvv
Флаг -vvv покажет детальный лог с URL, кодами ответов и прогрессом загрузки — удобно убедиться, что зеркало отвечает корректно.
Шаг 3. Настраиваем автоматическое обновление
bashecho "30 3 * * * root /usr/bin/freshclam --quiet" > /etc/cron.d/clamav-update
Важно: не запускайте freshclam чаще одного раза в час. При частых запросах CDN автоматически блокирует клиента с кулдауном до 24 часов, записывая состояние в файл
/var/lib/clamav/freshclam.dat. Если кулдаун уже активен — удалите этот файл перед следующей попыткой.
Проверка результата
bash# Статус сервиса
systemctl status clamd@scan
# Версия движка и дата баз
clamdscan --version
# Тест на EICAR (должен показать FOUND)
curl -s https://www.eicar.org/download/eicar.com.txt | clamdscan -
Сводная таблица проблем и решений
| Проблема | Причина | Решение |
|---|---|---|
403 Forbidden от CDN | Блокировка российских IP | Российские зеркала в freshclam.conf |
.cdiff не скачиваются | Зеркала раздают только .cvd | ScriptedUpdates no |
| Повторный кулдаун | Слишком частые запросы | Cron раз в сутки, удалить freshclam.dat |
ClamAV остаётся надёжным инструментом защиты веб-серверов и почтовых шлюзов при условии, что базы регулярно обновляются. Описанная конфигурация полностью решает проблему для российских хостинг-площадок и работает стабильно.