Lisää maldet nopeus

Jokainen, joka käsittelee ammattimaisesti web-hosting-palvelua, tuntee tartunnan saaneiden käyttäjien aiheuttamat uhat haittaohjelmilla, web-kuoret jne. Yleisessä tapauksessa sitä käytetään maldet ei paha kirjoitus. Se erotetaan toisistaan 3 asiat

  1. Se on todella hidasta
  2. Se on erittäin hidasta, ja jos laitat sen valvontatilaan, se pilaa palvelimen
  3. Tukee omaa tietokantaa virheellisen koodin md5 / hex-määritelmillä.

Se on viimeinen ominaisuus, joka tekee siitä hyödyllisen, koska muun muassa voit lähettää tiedostoja, joita ei ole toistaiseksi havaittu, ja ne syötetään tietokantoihin myöhemmässä vaiheessa.. Kuten olen samaa mieltä 1 ja 2 sen nopeus on järkyttävän alhainen – alhaisella konekuormalla 70k tiedostoa skannattiin noin puolitoista tunnissa. Tästä syystä aloin auttaa hyvää ystävääni ShadowXia Kävi koulua malmon – vaihtoehto pythonille kirjoitetulle maldetille hieman joustavammin. Valitettavasti ajanpuutteen vuoksi (lähinnä mutta ei vain) emme ole saaneet päätökseen hanketta, mikä ei ole tällä hetkellä kovin käyttökelpoinen – On olemassa paljon virheitä, jotka on poistettava. Viime päivinä minulla oli ongelmia CryptoPHP-tartunnan saaneiden asiakkaiden kanssa, joilla oli valtavia public_html-tiedostoja ~ 60 kt + käyttäjän sisääntulot. Koska tiedostoja oli skannattu yhteensä yli 200 kt, mikä vie karkeasti 5+ tuntia päätin virittää maldetin kokoonpanon, vähentää skannattavia tiedostoja kohtuulliseen määrään ja aikaa. Kun otin konsertin, huomasin seuraavat rivit

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Mielenkiintoista… Ilmeisesti on olemassa mahdollisuus käyttää ClamAV – joka ei myöskään eroa nopeudeltaan, mutta miksi et kokeile sitä. Asensin sen nopeasti

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Suoritan maldet pienellä kansiolla – En näe eroa nopeudessa ja käyttäytymisessä – hän käytti perl-skanneriaan clamavin sijasta. Lyhyen kaivon jälkeen maldetin lähteestä löysin seuraavat rivit

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Hmmm, tein yhden mikä clamscan ja suurena yllätyksenä huomasin, että clamav ei ole lainkaan polussa, mutta tyhmä Cpanel jätti sen vain hakemistoon / usr / local / cpanel / 3.party / bin / josta hän käyttää binaarejaan. Nopea ln ratkaisi ongelman:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Kun skannataan uudelleen, maldet ilmoittavat jo edellä

{scan} found ClamAV clamscan binary, using as scanner engine...

Kun ClamAV maldet on jo käytetty, se lopettaa skannauksen 3-4-5 kertaa nopeammin kuin ennen. Testi osoitti – 70k inod-a hieroi heitä noin 25 min mikä on noin 3 puolitoista kertaa nopeammin kuin ennen.

Jätä vastaus

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Anti-spam *