Maldet nopeuttaa

Jokainen, joka käsittelee ammattimaisesti web hosting tietää, mitä uhkaa edustavat tartunnan käyttäjät haittaohjelmia, web kuoret jne. Vuonna obset käytetään täällä maldet yksi huono kirjoitus. Se eroaa 3 asioita

  1. Hirveän hidas
  2. Todella hitaasti ja jos et anna sen mennä näytön tilassa, shauri palvelimen
  3. Ylläpitää omaa tietokantaan md5/hex, varmaa huono koodi.

Se on jälkimmäinen ominaisuus tekee siitä hyötyä, koska muun muassa, voi symitar-tiedostoja, jotka eivät ole löydetty toistaiseksi, ja myöhemmin on saada tietokantaan. Jaettu kohtaan 1 ja 2 sen nopeus on järkyttävän alhainen – pienellä kuormituksella auton 70K-tiedosto skannataan tunti ja puoli. Tästä syystä olen alkanut auttaa hyvä ystäväni, ShadowX kanssa malmon – vaihtoehto maldet kirjoitettu pythonilla kanssa vähän joustavuutta. Valitettavasti ajan puutteen vuoksi (enimmäkseen, mutta ei ainoa) emme dovrsili hanke, joka on tällä hetkellä ole kovin hyödyllinen – on olemassa melko paljon virheitä siivota. Viime päivinä minulla on ollut ongelmia asiakkaiden kanssa saanut tartunnan kanssa CryptoPHP, joka oli valtava public_html-tiedostot ~60K+ inod-käyttäjä. Niin yhdessä oli tarkastettava 200k tiedosto, joka suuri osuus se vie 5+ tunnin päätin tuningova kokoonpano maldet, vähentää tiedostot, jotka tarkastetaan järkevämpi paikka ja aika. Kun valitset konfa huomannut seuraavat rivit

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Mielenkiintoinen… Tietenkin, se on mahdollista käyttää ClamAV – joka ei ole nopea, mutta ei, miksi ei kokeilla. Nopeasti asettaa

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Julkaisu maldet-pieni kansio – En näe mitään eroa nopeus ja käyttäytymistä – käyttää sitä perl-ish skanneri sen sijaan clamav. Kun lyhyen kaivaa koodi maldet löysin seuraavat rivit

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Mdaaa, tein yhden joka clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

Jätä vastaus

Sähköpostiosoitteesi ei julkaista. Pakolliset kentät on merkitty *

Anti SPAM *