Öka maldet hastighet

Någon som sysslar med professionella webbhotell vet vad ett hot som representerar de infekterade användare med skadlig kod, webben skal etc. I obšiât används fall maldet inte ett dåligt manus. Det kännetecknas av 3 saker

  1. Fruktansvärt långsam
  2. Det är fruktansvärt långsam och om du tappar den i övervakning regimen kommer att bråka med din server
  3. Underhålla din egen databas med md5/hex definici för dålig kod.

Bara hans sista funktionen gör den användbar, Du kan s″bmitvaš filer kommer att som inte har upptäckts hittills, och i ett senare skede träda i databasen. Som jag delade i avsnitt 1 och 2 dess hastighet är chockerande låg – vid låg belastning av maskin 70 k filen genomsöks efter ungefär en och en halv timme. Av denna anledning började jag hjälpa min gode vän av ShadowX Malmon – ett alternativ till den maldet som skrivet i python med lite mer flexibilitet. Tyvärr på grund av tidsbrist (främst men inte endast) Vi är inte ett färdigt projekt, som för tillfället inte är mycket användbara – Det finns en hel del buggar som behöver rengöras. I de senaste dagarna hade jag problem med klienter som smittats med CryptoPHP som hade enorma public_html filerna ~ 60 k + inod-användare. Eftersom totalen hade ska genomsökas skulle över 200 k fil som i grov konton ta 5+ timmar jag beslutat att Nip/Tuck maldet konfiguration, att minska de filer som kommer att skannas till ett mer rimligt antal och tid. Medan čopleh konfa märkte jag följande rader

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Intressant… Tydligen finns det en möjlighet att använda den ClamAV – som även kännetecknas av dess stor hastighet men varför inte prova. Den snabbt installerade det

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Jag kör maldet och klicka på mappen små – Jag ser en skillnad i hastighet och beteende – Han använde sin perl-ski scanner istället för clamav. Efter en kort djupdykning genom källa hittat jag maldet följande rader

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Ja jag gjorde en som clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

Lämna svar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade *

Anti SPAM *