Ĉiu kiu estas engaĝita en ttt retprovizanton scias kion minaco estas infektitaj uzantoj kun malware, TTT konkoj ktp. En kazoj Ĉi Ĝenerala uzo h Ne malbona skripto. ĝi prezentas 3 aferoj

  1. Estas terure malrapida
  2. Estas terure malrapida kaj se ĝi enlasis monitoreo reĝimo estos izgavri servilo vi
  3. Subtenas lian propran datumbazon de MD5 / deksesuma difino de malbona kodo.

Nur lasta karakteriza faras ĝin utila, ĉar krom io alia povas sabmitvash dosierojn kiuj ne estis detektitaj ĝis nun, kaj ĉe pli posta stadio venos en datumbazoj. Kiel mi dividis en punkto 1 kaj 2 rapido estas ŝoke malalta – ĉe malalta ŝarĝo la maŝino 70K dosiero estas skanita por proksimume horo kaj duono. Tial mi komencis helpi mian bonan amikon kun ShadowX Malmö – Alternativa maldet skribita en Python kun malmulta flexibilidad. Bedaŭrinde, manko de tempo (ĉefe sed ne nur) Ni ne finis la projekton, kiuj nuntempe ne estas tre uzebla – ekzistas multaj bugs kiu devas esti malbarita. En la pasintaj tagoj mi havis problemojn kun klientoj infektita kun CryptoPHP kiu havis grandegan dosierojn public_html ~ 60k + inod-kaj Uzanto. Ekde entute devis esti skanita super 200k dosiero kiu malglate prenus 5+ horoj mi decidis agordi la agordo de maldet, malpliigi la dosieroj kiuj estos escaneados al pli racia nombro kaj tempo. Dum pluki confit rimarkis la sekvajn liniojn

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

interese… Ŝajne estas eblo uzi ClamAV – kiu ankaŭ havas granda rapido sed kial ne provi. A rapide instalita

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-kontrolita kaj sur malgranda dosierujo – Mi vidas neniun diferencon en rapido kaj konduto – Li uzas sian sia perl-skio skanilo anstataŭ tiun de ClamAV. Post mallonga cribado tra fonto de maldet trovis la sekvajn liniojn

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Yep faris kiu clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.