Maldet spoed verhoog

Enigiemand wat handel professioneel met web hosting weet wat die bedreiging verteenwoordig besmet gebruikers wat met hierdie malware, web skulpe ens. In obset hier gebruik maldet een slegte script. Dit verskil 3 dinge

  1. Vreeslik stadig
  2. Regtig stadig en as jy dit laat gaan in monitor af sal, shauri server wat jy
  3. Hou sy eie databasis met die md5/hex, definitiewe slegte kode.

Dit is die laasgenoemde funksie maak dit nuttig, want onder ander dinge, kan symitar lêers wat nog nie ontdek is so ver en op'n later stadium sal kry in die databasis. As gedeel in die punt 1 en 2 sy spoed is skokkend laag – by lae las op die motor 70K lêer geskandeer vir'n uur en'n half. Vir hierdie rede, het ek begin om te help om my goeie vriend, ShadowX met Malmö – alternatiewe maldet geskryf in python met'n bietjie van buigsaamheid. Ongelukkig, as gevolg van'n gebrek van die tyd (meestal, maar nie net) ons doen nie dovrsili projek, wat is tans nie baie nuttig – daar is nogal'n baie van die foute om skoon te maak. Oor die afgelope paar dae het ek het probleme gehad met kliënte besmet is met CryptoPHP wat'n groot public_html lêers ~60K+ inod-gebruiker. So in samewerking moes word nagegaan op 200k lêer wat groot rekeninge sal dit neem 5+ uur het ek besluit tuningova opset maldet, om te verminder die lêers wat sal nagegaan word in'n meer redelike plek en tyd. Terwyl die kies van konfa opgemerk die volgende lyne

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Interessant… Natuurlik, dit is moontlik om te gebruik ClamAV – wat is nie'n hoë spoed, maar nie hoekom nie om te probeer. Vinnig ek stel

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Vrylating maldet-'n klein gids – Ek sien geen verskil in spoed en gedrag – gebruik dit perl-ish skandeerder plaas vir clamav. Na'n kort grawe in die kode maldet ek het gevind dat die volgende lyne

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Mdaaa, ek het een wat clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

Laat'n Antwoord

Jou e-posadres sal nie gepubliseer word nie. Vereiste velde is gemerk *

Die Anti-SPAM *