Povećaj brzinu maldet

Свако ко се професионално бави веб хостингом познаје претњу коју представљају заражени корисници са малваре-ом, веб шкољке итд. У општем случају се користи малдет није лош сценариј. Одликује га 3 ствари

  1. Страшно је споро
  2. Ужасно је спор, а ако га пребаците у режим праћења, упрљат ће се вашем серверу
  3. Подржава властиту базу података с мд5 / хек дефиницијама за лош код.

Његова посљедња особина је чини корисном, јер, између осталог, можете да предате датотеке које до сада нису откривене и ући ће у базе података касније.. Као што сам и поделио 1 и 2 његова брзина је шокантно мала – при малом оптерећењу машине, скенирано је 70.000 датотека за отприлике сат и по времена. Из тог разлога, почео сам да помажем свом добром пријатељу СхадовКс malmon – алтернатива малдету написаном на питхон-у са мало више флексибилности. Нажалост због недостатка времена (углавном али не само) нисмо довршили пројекат, што тренутно није баш употребљиво – има пуно грешака које је потребно очистити. У последњих неколико дана имао сам проблема са клијентима зараженим ЦриптоПХП-ом који су имали огромне публиц_хтмл датотеке ~ 60к + корисничке шифре. Пошто је укупно требало скенирати преко 200к датотека, што би требало отприлике 5+ сати Одлучио сам да прилагодим конфигурацију малдета, да бисте смањили датотеке које ће бити скениране на разуман број и време. Док сам узимао конфете, приметио сам следеће редове

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Занимљиво… Очигледно постоји прилика за коришћење ЦламАВ – која се такође не разликује у својој великој брзини, али зашто не бисте покушали. Брзо сам га инсталирао

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Водим малдет у малу фасциклу – Не видим разлику у брзини и понашању – користио је свој перл скенер уместо цламава. Након краћег копања извора малдета, нашао сам следеће редове

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Хммм, направио сам један која шкољка и на моје велико изненађење открио сам да цламав уопће није у ПАТХ-у, али глупи Цпанел га је оставио само у / уср / лоцал / цпанел / 3рдпарти / бин / одакле користи своје бинарне датотеке. Брзи лн решио је проблем:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При поновном скенирању малдет већ пријављује горе наведено

{scan} found ClamAV clamscan binary, using as scanner engine...

Након што већ користи ЦламАВ малдет, завршава скенирање 3-4-5 пута брже него раније. Тест је показао – 70к инод-а трљао их је за отприлике 25 мин 3 пута и по брже него раније.

ostavi odgovor

Vaša e-adresa neće biti objavljena. Obavezna polja su označena *

Protiv bezvredne pošte *