提高 maldet 速度

处理专业虚拟主机的人知道他们代表威胁感染恶意软件的用户, web 壳等. 在 obšiât 中使用的大小 maldet 不是一个坏的剧本. 它是由区别 3 事情

  1. 增长速度太慢
  2. 它是出奇得慢,如果你把它放在监测制度会把脏东西与您的服务器
  3. 维护您自己的数据库与 md5/十六进制 definici 为糟糕的代码.

只是他最后一个功能使它有用, 尽你所能 s″bmitvaš 文件,没有发现到目前为止,并在稍后阶段将进入数据库. 正如我在一节 1 和 2 它的速度是低得惊人 – 在低负荷的机器 70 k 文件扫描中的大约一个半小时. 为此我开始帮助我通过 ShadowX 的好朋友 malmon – maldet 用 python 写的有点更灵活的替代. 不幸的是由于缺乏时间 (主要但不是唯一) 我们不能完成的项目, 而眼下这不是十分有用 – 有不少的 bug,需要清洗. 在过去的几天我有客户端,CryptoPHP 感染了巨大 public_html 文件问题 ~ 60 k + 我也愿意用户. 因为总有要扫描超过 200 k 文件,在粗糙的帐户会 5+ 几个小时,我决定到整容室 maldet 配置, 以减少将向一个更合理的数目和时间扫描的文件. Čopleh konfa 时,我注意到下列行

# Attempt to detect the presence of ClamAV clamscan binary
# and use as default scanner engine; up to four times faster
# scan performance and superior hex analysis. This option
# only uses ClamAV as the scanner engine, LMD signatures
# are still the basis for detecting threats.
# [ 0 = disabled, 1 = enabled; enabled by default ]
clamav_scan=1

有趣的… 显然,还有可能使用 ClamAV – 人也以其极快的速度著称,但为什么不试试. 快速安装它

/scripts/update_local_rpm_versions --edit target_settings.clamav installed

/scripts/check_cpanel_rpms --fix --targets=clamav

我运行 maldet,然后单击小文件夹 – 我看不到的速度和行为的差异 – 他用他的 perl 滑雪扫描仪而不是 clamav. 简短的钻研通过源后我发现 maldet 以下行

 clamscan=`which clamscan 2> /dev/null`
 if [ -f "$clamscan" ] && [ "$clamav_scan" == "1" ]; then
        eout "{scan} found ClamAV clamscan binary, using as scanner engine..." 1
    for hit in `$clamscan -d $inspath/sigs/rfxn.ndb -d $inspath/sigs/rfxn.hdb $clamav_db -r --infected --no-summary -f $find_results 2> /dev/null | tr -d ':' | sed 's/.UNOFFICIAL//' | awk '{print$2":"$1}'`; do

我的确 其中 clamscan и за моя голяма изненада открих че clamav изобщо не е в PATH-a ами тъпият Cpanel го е оставил само в /usr/local/cpanel/3rdparty/bin/ от където той си използва бинарките. Един бърз ln реши проблема:

ln -s /usr/local/cpanel/3rdparty/bin/clamscan /usr/bin/clamscan

При повторно сканиране maldet вече горно съобщава

{scan} found ClamAV clamscan binary, using as scanner engine...

След като вече използва ClamAV maldet приключва сканирането си 3-4-5 пъти по бързо в сравнение с преди. Теста показа – 70к inod-а ги изтъркла за около 25 мин което си е около 3 пъти и половина по бързо в сравнение с преди.

发表评论

您的电子邮件地址不会被公开. 必需的地方已做标记 *

反垃圾邮件 *