Pliigi maldetrapidan rapidecon

Ĉiu, kiu traktas profesie kun reteja gastigado, konas la minacon prezentitan de infektitaj uzantoj kun malware, retaj ŝeloj ktp. En la ĝenerala kazo ĝi estas uzata maldeto ne malbona skripto. Ĝi distingiĝas per 3 aferoj

  1. Ĝi estas terure malrapida
  2. Ĝi estas terure malrapida kaj se vi metas ĝin en monitoradon, ĝi skoldos vian servilon
  3. Elportas propran datumbazon kun md5 / heksaj difinoj por malbona kodo.

Ĝi estas ĝia lasta trajto, kiu faras ĝin utila, ĉar, interalie, vi povas sendi dosierojn, kiuj ĝis nun ne estis detektitaj kaj eniros la datumbazojn en posta stadio.. Kiel mi dividis en punkto 1 kaj 2 ĝia rapideco estas ŝoke malalta – ĉe malalta maŝina ŝarĝo, 70k dosieroj estis skanitaj en ĉirkaŭ unu horo kaj duono. Por tio mi komencis helpi mian bonan amikon ShadowX Malmo – alternativo al maldet skribita en pitono kun iom pli da fleksebleco. Bedaŭrinde pro manko de tempo (ĉefe sed ne nur) ni ne kompletigis la projekton, kio ne tre uzeblas nuntempe – estas multaj eraroj, kiuj devas esti forigitaj. En la pasintaj tagoj mi havis problemojn kun klientoj infektitaj per CryptoPHP, kiuj havis grandegajn publik_html-dosierojn ~ 60k + uzantajn inodojn. Ĉar entute pli ol 200k dosieroj devis esti skanitaj, kio daŭras proksimume 5+ horojn mi decidis agordi la agordon de maldeto, redukti la dosierojn skanitajn al akceptebla nombro kaj tempo. Dum mi reprenis la konfiton, mi rimarkis la jenajn liniojn

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Interesaj… Ŝajne estas ebleco uzi ClamAV – kiu ankaŭ ne diferencas pro sia alta rapideco sed kial ne provu ĝin. Mi rapide instalis ĝin

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Mi kuras la maldetekton sur malgranda dosierujo – Mi ne vidas diferencon en rapideco kaj konduto – li uzis sian perlan skanilon anstataŭ la klamon. Post mallonga fosado tra la fonto de maldeto, mi trovis la jenajn liniojn

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Hmmm, mi faris unu kiu clamscan kaj al mia granda surprizo mi trovis, ke clamav tute ne estas en la PATRO, sed la stulta Cpanel lasis ĝin nur en / usr / local / cpanel / 3rdparty / bin / de kie li uzas siajn binarojn.. Rapida ln solvis la problemon:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Kiam re-skanado, maldeto jam raportas ĉi-supre

{scan} found ClamAV clamscan binary, using as scanner engine...

Post jam uzado de ClamAV-maldeto, ĝi finas sian skanadon 3-4-5 fojojn pli rapide ol antaŭe. La testo montris – 70k inod-a frotis ilin por ĉ 25 min kiu temas 3 fojojn kaj duonon pli rapide ol antaŭe.

Leave a Reply

Your email address will not be published. Required fields are marked *

Anti SPAM *