Բոլորը, ովքեր մասնագիտորեն զբաղվում են վեբ հոստինգով, գիտեն վարակված օգտագործողների կողմից չարամիտ վնասվածքի սպառնալիքի մասին, վեբ ռումբեր և այլն. Ընդհանուր դեպքում այն ​​օգտագործվում է մալդեթ ոչ վատ սցենար. Այն առանձնանում է ըստ 3 բաներ

  1. Դա շատ դանդաղ է
  2. Դա ահավոր դանդաղ է, և եթե այն տեղադրեք մոնիտորինգի ռեժիմում, դա կշտամբի ձեր սերվերը
  3. Աջակցում է սեփական տվյալների շտեմարան md5 / hex- ի սահմանումներով ՝ վատ կոդերի համար.

Դա նրա վերջին առանձնահատկությունն է, որ այն դարձնում է օգտակար, քանի որ, ի թիվս այլ բաների, դուք կարող եք ներկայացնել այն ֆայլեր, որոնք մինչ այժմ չեն հայտնաբերվել և հետագա փուլում մուտքագրելու են տվյալների բազան:. Ինչպես ես կիսեցի կետում 1 և 2 դրա արագությունը ցնցող է ցածր – մեքենայական ցածր ծանրաբեռնվածության պայմաններում մոտ 70 ժամ ֆայլերը սկանավորվել են մոտ մեկուկես ժամվա ընթացքում. Այդ պատճառով ես սկսեցի օգնել իմ լավ ընկեր ShadowX- ին Մալմո – այլընտրանքային տարբերակ `python- ում գրված մի փոքր ավելի ճկունությամբ. Դժբախտաբար ժամանակի պակասի համար (հիմնականում, բայց ոչ միայն) մենք նախագիծը չենք ավարտել, ինչը ներկայումս այնքան էլ օգտագործելի չէ – կան բազմաթիվ սխալներ, որոնք պետք է մաքրել. Անցած մի քանի օրերի ընթացքում ես խնդիրներ ունեի CryptoPHP- ով վարակված հաճախորդների հետ, որոնք ունեին հսկայական հանրային_հայտի ֆայլեր `60k user + օգտագործողի ինոդներ. Քանի որ ընդհանուր առմամբ ավելի քան 200k ֆայլեր պետք է սկանավորվեին, ինչը մոտավորապես կտևեր 5+ ժամեր ես որոշեցի մեղմել maldet- ի կազմաձևերը, նվազեցնել այն ֆայլերը, որոնք սկանավորվելու են ողջամիտ թվով և ժամանակով. Երբ ես վերցրեցի զամբյուղը, ես նկատեցի հետևյալ տողերը

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Հետաքրքիր է… Ըստ երևույթին, օգտագործման հնարավորություն կա ClamAV- ը – ինչը նույնպես չի տարբերվում իր բարձր արագությամբ, բայց ինչու՞ չփորձել. Ես արագ տեղադրեցի այն

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Ես վարում եմ maldet- ը փոքր թղթապանակում – Արագության և վարքի մեջ տարբերություն չեմ տեսնում – նա օգտագործեց իր perl սկաները կլամի փոխարեն. Մալդետի աղբյուրի կարճ փորելուց հետո ես գտա հետևյալ տողերը

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Հըմմ, ես պատրաստեցի մեկը որը clamscan և ի զարմանս իմ ՝ ես գտա, որ կլամավն ամենևին PATH- ում չէ, բայց հիմար Cpanel- ը թողեց այն միայն / usr / local / cpanel / 3rdparty / bin / որտեղից էլ նա օգտագործում է իր binaries. Արագորեն լուծվեց խնդիրը:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

Վերաքննելուց հետո maldet- ը արդեն հայտնում է վերը նշվածը

{scan} found ClamAV clamscan binary, using as scanner engine...

ClamAV Maldet- ն արդեն օգտագործելուց հետո այն ավարտում է իր սկանացումը 3-4-5 անգամ ավելի արագ, քան նախկինում. Թեստը ցույց տվեց – 70k inod - a rubbed նրանց մասին 25 րոպե, որը մոտ է 3 անգամ ու կես ավելի արագ, քան նախկինում.