Povečajte hitrost maldet

Vsakdo, ki se ukvarja profesionalno z spletno gostovanje ve, kaj grožnjo predstavljajo okužil uporabnike računalnikov s škodljivo programsko opremo, spletni školjke itd.. V obset, ki tukaj maldet en slab scenarij. To se razlikuje 3 stvari

  1. Strašno počasi
  2. Zelo počasi in če si naj gre v zaslonskem načinu bo, shauri strežnik, ki ga
  3. Vodi lastne baze podatkov s md5/hex, določen slabo kodo.

To je slednja funkcija omogoča, da je koristno, zato, ker med drugim, lahko symitar datoteke, ki ste jih niso odkrili doslej in pozneje bodo dobili v zbirki podatkov. Kot skupni rabi v točki 1 in 2 njegova hitrost je presenetljivo nizek – pri nizki obremenitvi avto 70K datoteke skenirane za uro in pol. Zaradi tega sem začela pomagati moj dober prijatelj, ShadowX z malmon – alternativa maldet, napisan v pythonu z malo prilagodljivost. Na žalost, zaradi pomanjkanja časa (predvsem, ne pa samo) mi ne dovrsili projekta, ki je trenutno ni zelo koristno – obstaja zelo veliko napak za čiščenje. V zadnjih nekaj dni sem imel težave z bolniki, okuženi z CryptoPHP, ki je imel velik public_html datoteke ~60K+ inod-uporabnik. Tako v povezavi treba je bilo preveriti na 200k datoteko, ki veliko računov, ki jih bo 5+ ure sem se odločil, tuningova konfiguracija maldet, za zmanjšanje datotek, ki bodo preverjene v bolj primernem kraju in času. Medtem ko izberete konfa opazil naslednje vrstice

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Zanimivo… Očitno je, da ga je mogoče uporabiti za ClamAV – ki ni visoko hitrostjo, vendar ne, zakaj ne poskusite. Hitro sem iz

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Sprostitev maldet-mala mapo – Vidim nobene razlike v hitrosti in vedenje – uporablja se ga perl-ish optičnega namesto za clamav. Po kratkem kopanje v kodo maldet sem našel naslednje vrstice

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Mdaaa, sem naredil en ki clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

pusti odgovor

Vaš e-poštni naslov ne bo objavljen. Zahtevana polja so označena *

Anti SPAM *