הגדל את מהירות המלדיט

כל מי שעוסק באופן מקצועי באירוח אתרים מכיר את האיום הנשקף על ידי משתמשים נגועים בתוכנות זדוניות, פגזי רשת וכו '. במקרה הכללי משתמשים בו maldet תסריט לא רע. זה נבדל על ידי 3 דברים

  1. זה איטי להחריד
  2. זה איטי להפליא ואם תכניסו אותו למצב ניטור הוא יגע בשרת שלכם
  3. תומך בבסיס נתונים משלו עם הגדרות md5 / hex לקוד רע.

זו התכונה האחרונה שלה שהופכת אותה לשימושית, מכיוון שבין היתר תוכלו להגיש קבצים שלא התגלו עד כה ויכנסו למאגרי המידע בשלב מאוחר יותר.. כפי שחלקתי בפירוט 1 ו 2 המהירות שלה נמוכה באופן מזעזע – בעומס מכונה נמוך, סרקו 70K קבצים תוך כשעה וחצי. מסיבה זו התחלתי לעזור לחברתי הטובה ShadowX מאלמו – אלטרנטיבה למלדיט שנכתבה בפיתון עם קצת יותר גמישות. לרוע המזל מחוסר זמן (בעיקר אך לא רק) לא השלמנו את הפרויקט, וזה לא ממש שמיש כרגע – יש הרבה באגים שצריך לסלק אותם. בימים האחרונים היו לי בעיות עם לקוחות שנדבקו ב- CryptoPHP שהיו להם קבצי public_html ענקיים ~ 60k + משתמשים.. מכיוון שהיה צריך לסרוק יותר מ- 200,000 קבצים, מה שייקח בערך 5+ שעות החלטתי לכוונן את התצורה של maldet, כדי לצמצם את הקבצים שייסרקו למספר וזמן סביר. כשאני מרימה את החומר, הבחנתי בשורות הבאות

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

מעניין… כנראה שיש הזדמנות להשתמש ClamAV – שגם זה לא שונה במהירות הגבוהה שלו אבל למה לא לנסות את זה. התקנתי אותו במהירות

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

אני מריץ את המלדיט על תיקיה קטנה – אני לא רואה הבדל במהירות ובהתנהגות – הוא השתמש בסורק הפרל שלו במקום הקלאמאב. לאחר חפירה קצרה במקור המלדיט מצאתי את השורות הבאות

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

המממ, הכנתי אחת המסוקק ולהפתעתי הרבה גיליתי שקלאמב בכלל לא נמצא ב- PATH, אבל קפנל המטופש השאיר אותו רק ב / usr / local / cpanel / 3rd party / bin / משם הוא משתמש בבינריות שלו.. מהיר פתר את הבעיה:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

בעת סריקה מחודשת, Maldet כבר מדווח על האמור לעיל

{scan} found ClamAV clamscan binary, using as scanner engine...

לאחר שכבר השתמש ב- Maldet ClamAV, הוא מסיים את הסריקה שלו 3-4-5 פעמים מהר מבעבר. הבדיקה הראתה – 70k inod - a שפשף אותם בערך 25 דקות שזה בערך 3 פעמים וחצי מהר מבעבר.

Leave a Reply

Your email address will not be published. Required fields are marked *

Anti SPAM *