Будь-хто, хто має справу з професійні веб-хостинг знає, що те, що вони являють собою загрозу інфіковані користувачів зловмисне програмне забезпечення, Web снарядів д. На obšiât, у випадку використовується maldet не погано скрипт. Це відрізняє 3 речі

  1. Жахливо повільна
  2. Це жахливо повільна і якщо ви помістіть його в режимі моніторингу буде плутатися з вашим сервером
  3. Зберегти свою власну базу даних з md5/hex definici для поганих кодом.

Його останньою риси робить його корисним, як ви можете s″bmitvaš файли яких не були виявлені до сих пір і на більш пізньому етапі увійде до бази даних. Як я поділяв, у розділі 1 і 2 її швидкість є вражаюче низькою – При невеликому навантаженні машина 70 к-файлу відскановані для про на півтори години. З цієї причини я почав, щоб допомогти моїм хорошим другом, ShadowX malmon – альтернативою maldet, написаний на python трохи більше гнучкості.. На жаль, через брак часу (в основному, але не єдиний) Ми не готового проекту, який в даний момент не є дуже корисна – Є чимало помилок, які повинні бути очищені. В останні кілька днів я мав проблеми з клієнтами, інфіковані CryptoPHP, який мав величезні public_html файли ~ 60 k + inod користувача. Оскільки загальна довелося бути перевірені займе більше 200 к-файл, який у грубі облікові записи 5+ я вирішив maldet конфігурацію Nip/Tuck годин, щоб зменшити файли, які мають бути перевірені на більш розумним число і час. При čopleh konfa я помітив наступні рядки

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

Цікаво… Судячи з усього, існує можливість використання на ClamAV – які також відрізняється великою швидкістю, але чому б не спробувати. На швидко встановив його

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

Я працювати maldet і клацніть папку, малий – Я не бачу різниці в швидкості і поведінка – Він використовував його perl скі сканер замість clamav. Після короткий заглиблюючись через джерелом я знайшов maldet наступні рядки

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

Так я і зробив це який clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.