Bárki, aki részt vesz tárhely tudja, milyen veszélyt jelent a fertőzött felhasználók malware, web kagyló stb. Azokban az esetekben jelen általános használatra h Nem rossz script. Jellemzője 3 a dolgok

  1. Szörnyen lassú
  2. Ez szörnyen lassú, és ha hagyja, hogy a monitoring módban izgavri szerver
  3. Megtartja saját adatbázisa md5 / hex meghatározása rossz kód.

Csak a múlt tulajdonság teszi hasznos, mert eltekintve bármi mást sabmitvash fájlokat, amelyeket nem mutattak ki eddig, és egy későbbi szakaszban lépnek adatbázisok. Amint azt a közös pont 1 és 2 sebesség megdöbbentően alacsony – kis terhelés a gép 70K fájl beolvasása körülbelül egy és fél óra. Emiatt kezdtem, hogy segítsen a jó barát ShadowX Malmö – alternatív maldet írt python kevés rugalmasságot. Sajnos, az idő rövidsége (elsősorban, de nem kizárólag) mi nem fejezte be a projekt, amely abban a pillanatban nem nagyon használható – sok hibát, hogy tisztázni kell. Az elmúlt napokban nem volt probléma az ügyfelek fertőzött CryptoPHP aki nagy fájlok public_html ~ 60k + inod-és felhasználói. Mivel összesen kellett szkennelni alatt 200K fájl, amely nagyjából tartana 5+ órát úgy döntöttem, hogy beállítsa a konfiguráció maldet, hogy csökkentse a fájlok lesznek vizsgálva, hogy egy ésszerű számban és időben. Míg szedés confit észrevette a következő sorokat

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

érdekes módon… Úgy látszik, van egy lehetőség, hogy használni ClamAV – amely szintén tartalmaz nagy sebességgel, de miért nem próbálja. A gyorsan telepíthető

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-futás és egy kis mappa – Nem látok különbséget a sebesség és a viselkedés – Ő használja az ő perl-ski szkenner helyett, hogy a clamav. Egy rövid szitálás forrása maldet talált a következő sorokat

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Ja tett amely clamscan és nagy meglepetésemre rájöttem, hogy clamav nem található elérési út, mi egy hülye Cpanel elhagyta őt csak a/usr/helyi/cpanel/3rdparty/bin/a házmester binarkite ahol. Egy gyors erősít a probléma ln:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Scan most maldet felső jelentések bíró

{scan} found ClamAV clamscan binary, using as scanner engine...

Után már használ ClamAV maldet véget ér a beolvasás 3-4-5 szer gyorsabb, mint korábban. A vizsgálat azt mutatta – 70k-izt″rkla inod őket a 25 min, ami körülbelül 3 és fél-szer gyorsabb, mint korábban.