H hastighedsforøgelse

Alle, der beskæftiger sig professionelt med web-hosting ved, hvad truslen repræsenterer inficerede brugere med malware, web-skaller osv.. I obset anvendes her h en dårlig script. Det adskiller sig 3 ting

  1. Frygtelig langsom
  2. Virkelig langsomt, og hvis du lader det gå i monitor mode, shauri server, du
  3. Fastholder sin egen database med md5 - /hex, konkret dårlig kode.

Det er den sidstnævnte funktion gør det nyttigt, fordi der blandt andre ting, kan symitar filer, der ikke er blevet opdaget indtil nu, og på et senere tidspunkt, vil komme ind i databasen. Som delt i punkt 1 og 2 dens hastighed er chokerende lavt – ved lav belastning på bilen 70K-fil, der scannes til en time og en halv. Af denne grund, begyndte jeg at hjælpe min gode ven, ShadowX med Malmø – alternative maldet skrevet i python med en smule fleksibilitet. Desværre, på grund af manglende tid (for det meste, men ikke kun) vi har ikke dovrsili projekt, der er i øjeblikket ikke meget nyttige – der er en hel masse fejl for at rydde op. I løbet af de sidste par dage har jeg haft problemer med kunder, der er inficeret med CryptoPHP, der havde en enorm public_html filer ~60K+ inod-bruger. Så i forbindelse var nødt til at blive kontrolleret på 200k-fil, der stort konti, det vil tage 5+ timer besluttede jeg tuningova konfiguration maldet, for at reducere de filer, der vil blive tjekket i en mere rimelig tid og sted. Mens du vælger konfa bemærket følgende linjer

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Interessant… Det er selvfølgelig muligt, at bruge ClamAV – der er ikke høj hastighed, men ikke hvorfor ikke prøve. Hurtigt satte jeg

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Udgivelse maldet-en lille folder – Jeg ser ingen forskel i hastighed og adfærd – der bruges it-perl-ish scanner i stedet for clamav. Efter en kort grave i koden maldet fandt jeg følgende linjer

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Mdaaa, jeg har lavet en som clamscan og til min store overraskelse opdagede jeg, at clamav ikke i VEJEN-en godt skrevet Cpanel venstre er det kun i /usr/local/cpanel/3rdparty/bin/, hvor han bruger det binarie. En hurtig ln løse problemet:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

I Rescan maldet allerede rapporteret top

{scan} found ClamAV clamscan binary, using as scanner engine...

Når brugt ClamAV maldet færdig med at scanne din 3-4-5 gange hurtigere end før. tests viste – 70k-inod og gnid omkring 25 min, hvilket er ca. 3 og en halv gange hurtigere end den kendte.

efterlade et svar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Anti-SPAM *