Aumentare la velocità di maldet

Chiunque si occupa di web hosting sa che cosa minaccia sono infettati da malware utenti, conchiglie web ecc. Nei casi in questo uso generale h non è una cattiva sceneggiatura. È dotato di 3 cose

  1. È terribilmente lento
  2. E 'terribilmente lento e se lasciato in modalità di monitoraggio si izgavri del server
  3. Mantiene il proprio database di definizione md5 / esadecimale del codice cattivo.

Proprio ultima caratteristica lo rende utile, perché oltre a qualsiasi altra cosa può sabmitvash i file che non sono stati rilevati fino ad ora, e in una fase successiva entrerà in banche dati. Come ho condiviso al punto 1 e 2 la velocità è incredibilmente basso – a basso carico il file della macchina 70K viene sottoposto a scansione per circa un'ora e mezza. Per questo motivo ho iniziato ad aiutare il mio buon amico con ShadowX Malmo – maldet alternativa scritto in python con poca flessibilità. Purtroppo, la mancanza di tempo (principalmente ma non solo) Non abbiamo finito il progetto, che al momento non è molto utilizzabile – ci sono molti bug che devono essere liquidati. Nei giorni scorsi ho avuto problemi con i clienti infetti da CryptoPHP che avevano file di grandi dimensioni public_html ~ 60K + inod-and User. Dal totale doveva essere scansionato più di 200k file di cui circa prenderebbe 5+ ore ho deciso di mettere a punto la configurazione di maldet, per ridurre i file che verranno esaminati da un numero e il tempo più ragionevole. Mentre la raccolta confit notato le seguenti linee

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

È interessante notare che… Apparentemente vi è la possibilità di utilizzare ClamAV – che dispone anche di grande velocità, ma perché non provare. Una rapida installazione

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-corsa e su una piccola cartella – Non vedo alcuna differenza in termini di velocità e del comportamento – Si sta usando la sua sua scanner perl-sci al posto di quello di ClamAV. Dopo una breve spulciando tra fonte di maldet trovato le seguenti linee

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Yep fatto un che clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

lascia un commento

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *

Anti Spam *