להגביר מהירות maldet

מי עוסק אירוח אתרים יודע מה האיום נגוע משתמש בתוכנות זדוניות, אינטרנט פגזים וכו. במקרים זה שימוש כללי h לא תסריט רע. הוא כולל 3 דברים

  1. האם איטי להחריד
  2. זה איטי להחריד ואם זה לתת במצב ניטור izgavri שרת אתה
  3. שומר על מסד נתונים משלו של הגדרת MD5 / hex של קוד רע.

רק המאפיין האחרון עושה את זה שימושי, מלבד כי מכל דבר אחר יכול sabmitvash קבצים אשר לא זוהו עד כה, ובשלב מאוחר יותר יכנס מסדי נתונים. כפי שהבאתי בפניכם נקודות 1 ו 2 מהירות היא מזעזעת נמוכה – בעומס נמוך בקובץ 70K המכונית נסרק במשך כשעה וחצי. מסיבה זו התחלתי לעזור חבר טוב שלי עם ShadowX מאלמו – maldet אלטרנטיבה כתוב Python עם מעט גמישות. למרבה הצער, חוסר זמן (בעיקר אך לא רק) אנחנו לא סיימנו את הפרויקט, אשר כרגע הוא לא מאוד שמיש – יש באגים רבים שצריך להיות מסומנים. בימים האחרונים היו לי בעיות עם לקוחות נגוע CryptoPHP שהיה public_html קבצים ענקיים ~ 60k + inod-ו משתמש. מאחר שהסכום הכולל היה לסריקה מעל 200k קובץ אשר בערך ייקח 5+ שעות החלטתי לכוון את התצורה של maldet, כדי להפחית את הקבצים ייסרקו למספר וזמן סביר יותר. בעוד לקטוף קונפי לב את השורות הבאות

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

מעניין… כנראה קיימת אפשרות להשתמש ClamAV – אשר כולל גם מהיר, אך למה לא לנסות. הותקן במהירות

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-לרוץ על תיקייה קטנה – אני לא רואה שום הבדל מהירות והתנהגות – הוא משתמש סורק perl-הסקי שלו שלו במקום של ClamAV. לאחר ניפוי קצר דרך מקור maldet מצא את השורות הבאות

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

כן עשה אשר תכנית אנטי-וירוס להפתעתי הרבה גיליתי ש-clamav הזה אינו נמצא נתיב-מה טיפשי ש-cpanel הותיר לו רק/usr/local/cpanel/3rdparty/bin/מתוך שבו הוא משתמש binarkite. פתרון מהיר בעוד הבעיה:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

In re דוחות העליון של maldet עכשיו סריקה

{scan} found ClamAV clamscan binary, using as scanner engine...

לאחר שכבר שימושים ClamAV maldet מסתיים הסריקה 3-4-5 פעמים מהר יותר מאשר בעבר. הבדיקה הראתה – 70k-izt″rkla inod אותם על 25 МИН КОЕТО СИ Е ОКОЛО 3 ПЪТИ שומוש ПОЛОВИНА ПО БЪРЗО В СРАВНЕНИЕ שלנו ПРЕДИ.

השאר תגובה

כתובת הדוא ל שלך לא יפורסם. שדות חובה מסומנים *

אנטי-ספאם *