Iedereen die zich bezighoudt met web hosting weet wat gevaar besmet gebruikers met malware, web schelpen etc. In gevallen Dit Algemeen gebruik h geen slechte script. Het beschikt over 3 dingen

  1. Is verschrikkelijk traag
  2. Het is verschrikkelijk traag en als het laat de bewaking modus server izgavri u
  3. Handhaaft zijn eigen database van md5 / hex definitie van slechte code.

Net laatste eigenschap maakt het nuttig, want afgezien van iets anders bestanden die niet zijn tot nu toe hebben ontdekt kunnen sabmitvash, en in een later stadium zal in databases komen. Zoals ik gedeeld in punt 1 en 2 snelheid is schrikbarend laag – bij lage belasting van de machine 70K bestand wordt gescand op ongeveer een uur en een half. Om deze reden ben ik begonnen met mijn goede vriend met ShadowX helpen Malmo – alternatieve maldet geschreven in Python met weinig flexibiliteit. Helaas, gebrek aan tijd (vooral, maar niet alleen) we hebben niet het project af, die op dit moment niet erg bruikbaar – er zijn vele bugs die moeten worden opgeruimd. In de afgelopen dagen had ik problemen met cliënten die besmet zijn met CryptoPHP die grote bestanden public_html ~ 60k + inod-en User had. Aangezien de totale moest worden gescand meer dan 200k dossier dat ruwweg zou nemen 5+ uur heb ik besloten om afstemmen van de configuratie van maldet, om de bestanden die worden gescand naar een redelijk aantal en de tijd verminderen. Terwijl het oppakken confit merkte de volgende regels

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

belangwekkend… Blijkbaar is er een mogelijkheid om te gebruiken ClamAV – die heeft ook grote snelheid, maar waarom niet proberen. Een snel geïnstalleerd

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-run en op een kleine map – Ik zie geen verschil in snelheid en het gedrag – Hij is met behulp van zijn van zijn perl-ski scanner in plaats van die van de ClamAV. Na een korte uitpluizen bron van maldet vond de volgende regels

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Yep maakte een die clamscan en tot mijn grote verbazing ontdekte ik dat clamav is niet in pad-wat een stomme die cPanel hem alleen verlaten heeft in/usr/local/cpanel/3rdparty/bin/uit wanneer hij binarkite gebruikt. Een snelle oplossing van het probleem-ln:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

In re scan nu maldet top verslagen

{scan} found ClamAV clamscan binary, using as scanner engine...

Na reeds gebruik eindigt ClamAV maldet uw scan 3-4-5 keer sneller dan voorheen. De test toonde – 70k-iztrkla-inod hen voor over 25 min, dat ongeveer is 3 en een half keer sneller dan voorheen.