Erhöhen Sie die Maldet-Geschwindigkeit

Jeder, der sich professionell mit Webhosting befasst, kennt die Bedrohung durch infizierte Benutzer mit Malware, Web-Shells usw.. Im allgemeinen Fall wird es verwendet Maledet ein nicht schlechtes Skript. Es zeichnet sich aus durch 3 Dinge

  1. Es ist furchtbar langsam
  2. Es ist furchtbar langsam und wenn Sie es in den Überwachungsmodus versetzen, wird es Ihren Server durcheinander bringen
  3. Unterstützt eine eigene Datenbank mit MD5 / Hex-Definitionen für fehlerhaften Code.

Es ist die letzte Funktion, die es nützlich macht, Sie können unter anderem Dateien senden, die bisher nicht erkannt wurden und zu einem späteren Zeitpunkt in die Datenbanken gelangen.. Wie ich in Punkt geteilt habe 1 und 2 seine Geschwindigkeit ist erschreckend niedrig – Bei geringer Maschinenlast wurden in etwa anderthalb Stunden 70.000 Dateien gescannt. Aus diesem Grund half ich meinem guten Freund ShadowX malmon – Eine Alternative zu in Python geschriebenem Maledet mit etwas mehr Flexibilität. Leider aus Zeitmangel (hauptsächlich aber nicht nur) Wir haben das Projekt nicht abgeschlossen, das ist im Moment nicht sehr brauchbar – Es gibt viele Fehler, die behoben werden müssen. In den letzten Tagen hatte ich Probleme mit mit CryptoPHP infizierten Clients, die riesige public_html-Dateien mit mehr als 60.000 Benutzer-Inods hatten. Da mussten insgesamt über 200k Dateien gescannt werden, was ungefähr dauern würde 5+ Stunden entschied ich mich, die Konfiguration von Maledet zu optimieren, um die zu scannenden Dateien auf eine angemessene Anzahl und Zeit zu reduzieren. Als ich die Conf aufnahm, bemerkte ich die folgenden Zeilen

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Interessant… Anscheinend gibt es eine Möglichkeit zu nutzen ClamAV – Das unterscheidet sich auch nicht in seiner hohen Geschwindigkeit, aber warum nicht versuchen?. Ich habe es schnell installiert

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Ich führe das Maledet in einem kleinen Ordner aus – Ich sehe keinen Unterschied in Geschwindigkeit und Verhalten – er benutzte seinen Perl-Scanner anstelle des Clamav. Nach einem kurzen Stöbern in der Quelle von Maledet fand ich die folgenden Zeilen

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Hmmm, ich habe eins gemacht welcher Clamscan und zu meiner großen Überraschung stellte ich fest, dass Clamav überhaupt nicht im PFAD ist, aber der dumme Cpanel ließ es nur in / usr / local / cpanel / 3rdparty / bin /, von wo aus er seine Binärdateien verwendet. Eine schnelle Lösung löste das Problem:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Beim erneuten Scannen meldet maldet dies bereits

{scan} found ClamAV clamscan binary, using as scanner engine...

Nachdem ClamAV maldet bereits verwendet wurde, wird der Scan abgeschlossen 3-4-5 mal schneller als vorher. Der Test zeigte – 70k inod-a rieb sie ungefähr 25 min was ist ungefähr 3 mal anderthalb schneller als zuvor.

Hinterlasse eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Anti-SPAM *