Każdy, kto zajmuje się profesjonalnie z web hosting wie, jakie zagrożenie stanowią zainfekowanych użytkowników z malware, Web pocisków itp. W обшият tutaj używany maldet jeden nie jest zły skrypt. Różni się on 3 rzeczy

  1. Strasznie wolno
  2. Strasznie wolno, a jeśli go puścić w trybie monitorowania będzie изгаври z serwerem można
  3. Obsługuje własną bazę danych z md5/hex дефиници zły kod.

Właśnie ta ostatnia cecha sprawia, że przydatne, tak jak między innymi, może събмитваш pliki, które nie zostały odkryte do tej pory i na późniejszym etapie będzie dostać się do bazy danych. Jak podzielił się w punkt 1 i 2 jego prędkość obrzydliwe małe – podczas niskiego obciążenia na samochód 70к plik zeskanowane na godzinę-półtorej. Z tego powodu zacząłem pomagać mój dobry przyjaciel, ShadowX z Malmo – alternatywa maldet napisany w pythonie z trochę elastyczności. Niestety, z powodu braku czasu (głównie, ale nie tylko) nie довършили projektu, który w tej chwili nie bardzo przydatne – jest sporo błędów, które trzeba wyczyścić. W ciągu ostatnich dni miałem problemy z klientami, zakażonych CryptoPHP które miały ogromne public_html pliki ~60к+ inod-a użytkownika. Tak jak w populacji powinny być sprawdzone w 200k plik co na głównych kont to zajmie 5+ godzin postanowiłem тунинговам konfiguracji maldet, aby zmniejszyć plików, które będą skanowane w jakiś bardziej rozsądny czas i miejsce. Aż do wyboru конфа zauważyłem następujące wiersze

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Ciekawe… Oczywiście, istnieje możliwość korzystania z ClamAV – który również nie różni się z dużą prędkością, ale dlaczego nie spróbować. Szybko go zainstalowałem

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Zwolnienie maldet-a na mały folder – nie widzę różnicy w prędkości i zachowaniu – używałam go perl-ski skaner zamiast tego na clamav. Po krótkim kopania na kod maldet znalazłem następujące wiersze

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Мдааа, zrobiłem jeden które clamscan И моя за голяма изненада открих че clamav изобщо не е в ами ścieżki a тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/от където той си използва бинарките. Quick fix problem ln:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

W ponownie najlepsze raporty skanowania teraz maldet

{scan} found ClamAV clamscan binary, using as scanner engine...

Po już używa ClamAV maldet kończy skanowanie 3-4-5 razy szybciej niż przed. Badanie wykazało – 70k-iztrkla inod je do o 25 min, który jest o 3 i pół razy szybciej niż wcześniej.