Maldet sebességének növelése

Всеки който се занимава професионално с web hosting знае каква заплаха представляват заразените потребители с malware, web shells etc. В обшият случей се използва maldet един не лош скрипт. Той се отличава с 3 неща

  1. Ужасно бавен е
  2. Ужасно бавен е и ако го пуснеш в мониторинг режим ще се изгаври със сървъра ти
  3. Поддържа собствена база данни с md5/hex дефиници за кофти код.

Точно последната му характеристика го прави полезен, тъй като освен всичко друго може да събмитваш файлове който не са били засечени досега и на по късен етап ще влязат в базите данни. Както споделих в точка 1 и 2 скоростта му е шокиращо нискапри ниско натоварване на машината 70к файла се сканираха за около час и половина. Поради тази причина започнах да помагам на моя добър приятел ShadowX с malmonалтернатива на maldet написана на python с малко по голяма гъвкавост. За съжаление от липса на време (основно но не само) не сме довършили проекта, който към момента не е много използваемима доста бъгове които трябва да се изчистят. През изминалите дни имах проблеми с клиенти заразени с CryptoPHP които имаха огромни public_html файлове ~60к+ inod-а на потребител. Тъй като сумарно трябваше да се сканират над 200к файла което по груби сметки щеше да отнеме 5+ часа реших да тунинговам конфигурацията на maldet, за да намаля файловете които ще се сканират до някаква по разумна бройка и време. Докато чоплех конфа забелязах следните редове

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

ИнтересноЯвно има възможност да използва ClamAV – Ami szintén nem különbözteti meg a nagy sebesség, de miért nem próbálja. A gyors telepítettem

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

A Maldet egy kis mappán fut – Nem látok különbséget a sebesség ben és a viselkedésben – A Perl-ski szkennerét használta clamav helyett.. Miután egy rövid ásás át a Maldet fajta, megtaláltam a következő sorokat

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Csináltam egyet. Melyik Clamscan És az én nagy meglepetés rájöttem, hogy ClamAV egyáltalán nem path-a jól a hülye Cpanel hagyta, hogy csak a / usr / helyi / rész / 3rdparty / ahonnan használja a bicarks. Egy gyors b-ben oldja meg a problémát:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Az újraszkennelés során a Maldet már

{scan} found ClamAV clamscan binary, using as scanner engine...

A ClamAV Maldet használata után befejezi a 3-4-5 Az idő gyorsabb, mint korábban. A vizsgálat azt mutatta, – 70K Inod-A esett őket körülbelül 25 Min, amely körül 3 És fél gyorsabb, mint korábban..

hagyj válaszüzenetet

Az Ön e-mail címe nem lesz közzétéve. A kötelező mezők meg vannak jelölve *

Anti SPAM *