Svatko tko se bavi profesionalni web hosting zna opasnost predstavljaju zaražene korisnici sa malware, web školjke itd. U u obšiât slučaju se koristi maldet Ne loš scenarij. Odlikuju ga 3 stvari

  1. Užasno spor
  2. To je užasno spor i ispustite praćenje režima će zabrljati s poslužiteljem
  3. Održavanje baze podataka sa md5/hex definici za loše kod.

Njegov posljednji dugometražni čini koristan, kao što možete s″bmitvaš datoteke koje nisu zabilježeni do sada, a u kasnijoj fazi će ući u bazu podataka. Kao što sam dijelio u odjeljku 1 i 2 njegova brzina je šokantno nisko – kod niskog opterećenja za 70 k datoteke skeniraju za sat i pol. Iz tog razloga počela sam pomoći dobar prijatelj od ShadowX malmon – alternativa za maldet napisan u python sa malo više fleksibilnosti. Nažalost zbog nedostatka vremena (uglavnom ali ne samo) Nismo završili projekt, što u ovom trenutku je vrlo korisna – Ima dosta bugova koje treba očistiti. U posljednjih nekoliko dana imao sam problema s klijentima okužen sa CryptoPHP koji je imao ogroman public_html datoteke ~ 60 k + inod-korisnik. Budući da ukupni morao skenirati više od 200 k datoteku koja je u grubo račune bi 5+ sati odlučio sam Nip/Tuck maldet konfiguracije, kako bi se smanjila datoteka koje će biti skenirane više razuman broj i vrijeme. Dok čopleh konfa primijetio sam sljedeće linije

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Zanimljivo… Navodno, postoji mogućnost da se koristi u Vrsta morske školjke – koji također se odlikuje velikom brzinom, ali zašto ne probati. I to vrlo brzo instalirati

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Ja trčanje maldet i klik malen savijač – Ne vidim razliku u brzini i ponašanje – On koristi svoju perl-spremište skenera umjesto clamav. Nakon kratkog delving kroz izvor našla maldet sljedeće linije

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Da sam na koji clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.