Creşte viteza de maldet

Oricine care este angajat în web hosting știe ce amenințare sunt utilizatori infectate cu malware, coji de web etc. În cazuri această utilizare generală h nu un script rău. acesta dispune de 3 lucruri

  1. Este teribil de lent
  2. Este teribil de lent și, dacă-l lăsa în modul de monitorizare va izgavri server de tine
  3. Își menține propria bază de date de definiție MD5 / hex de cod rău.

Ultima caracteristică doar o face utilă, pentru că în afară de orice altceva poate sabmitvash fișiere care nu au fost detectate până în prezent, iar într-o etapă ulterioară va intra în bazele de date. Așa cum am împărtășit la punctul 1 și 2 Viteza este foarte scăzută – la încărcare mică fișierul mașină 70K este scanat timp de aproximativ o oră și jumătate. Din acest motiv, am început să ajute bunul meu prieten cu ShadowX Malmo – maldet alternativă scrisă în Python cu puțină flexibilitate. Din păcate, lipsa de timp (în principal, dar nu numai) nu am terminat proiectul, care în acest moment nu este foarte ușor de utilizat – există mai multe bug-uri care trebuie să fie eliminate. In ultimele zile am avut probleme cu clienții infectați cu CryptoPHP care au avut fișiere de mari public_html ~ 60k + inod-și Utilizator. Din moment ce numărul total a trebuit să fie scanat peste 200k fișier care aproximativ ar lua 5+ ore am decis să tune configurația maldet, pentru a diminua fișierele care vor fi scanate într-un număr mai rezonabil și timp. In timp ce iau confit observat următoarele linii

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Interesant… Se pare că există posibilitatea de a utiliza ClamAV – care oferă, de asemenea, viteza mare, dar de ce nu încercați. A instalat rapid

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Maldet-rula și într-un dosar mic – Nu văd nici o diferență în viteză și comportament – El folosește său de scanare sa-perl de schi în loc de cea a CLAMAV. După o scurtă cernerea prin sursa de maldet a constatat următoarele linii

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Da a făcut o care clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

lasa un raspuns

Adresa ta de email nu va fi publicat. Câmpurile necesare sunt marcate *

Anti SPAM *