Արագության ավելացում maldet

Յուրաքանչյուր ոք, ով զբաղվում է պրոֆեսիոնալ հետ web hosting գիտի, թե ինչ վտանգ է ներկայացնում վարակված օգտվողները հետ չարամիտ, web shells etc. "Обшият այստեղ օգտագործվում է maldet մեկը ոչ մի վատ սցենար. Նա տարբերվում է 3 բաներ

  1. Ահավոր դանդաղ
  2. Ահավոր դանդաղ են ընթանում, եւ եթե նրան ազատ արձակել ռեժիմով մոնիտորինգի չի изгаври սերվերի վրա դուք
  3. Աջակցում է սեփական բազայի հետ, md5/hex дефиници վատ կոդ.

Հենց վերջին առանձնահատկությունն է, այն օգտակար, քանի որ, ամեն ինչից զատ, կարող է събмитваш ֆայլերը, որոնք հայտնաբերվել էին մինչ այժմ եւ ավելի ուշ փուլում պետք է հասնել բազայի. Ինչպես կիսվել կետ 1 ու 2 նրա արագությունը սարսափելի ցածր է – ցածր ծանրաբեռնվածության մեքենայի վրա 70к ֆայլի отсканировали մեկ-մեկուկես ժամ. Այդ պատճառով ես սկսեցի օգնել իմ լավ ընկեր, ShadowX հետ malmon – այլընտրանք maldet գրված է python մի քիչ ճկունություն. Ցավոք, ժամանակի սղության պատճառով (հիմնականում, բայց ոչ միայն) մենք չենք довършили նախագծի, որը տվյալ պահին շատ օգտակար է – բավականին սխալներ կան որոնք պետք է մաքրել. Անցած օրերին ինձ հաճախորդների հետ, վարակված CryptoPHP որոնք ունեին հսկայական public_html ֆայլերը ~60к+ inod-օգտագործողի. Քանի որ միասին պետք է ստուգվել 200к ֆայլ որ խոշոր հաշիվների այն տեւում 5+ ժամ ես որոշեցի тунинговам կազմաձեւման maldet, նվազեցնել ֆայլերը, որոնք պետք է ստուգվի ինչ-որ բան ավելի խելամիտ տեղը եւ ժամանակը. Մինչեւ ընտրության конфа նկատել է հետեւյալ տողերը

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Հետաքրքիր է… Ակնհայտ է, որ կա հնարավորություն օգտագործել ClamAV – ով նույնպես աչքի չի ընկնում մեծ արագությամբ, բայց, ինչու չէ, փորձեք այն. Արագ ես տեղադրել

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Թողարկել maldet-իսկ փոքրիկ թղթապանակ – չեմ տեսնում տարբերություն արագությամբ եւ վարքի – օգտագործել է իր perl-ски սկաների փոխարենը clamav. Հետո կարճատեւ փորում, ըստ կոդ maldet ես գտել հետեւյալ տողերը

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Мдааа, ես մի ստուգելու clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

Leave a Reply

Ձեր email address will not be published. Պարտադիր դաշտերը նշված են *

Հակա-սպամ *