Окружающая среда Centos 6 Cpanel 32 ГБ ОЗУ 512 ГБ SSD-диск / используется примерно половина
Взял на управление сервер и установил ClamAV. Использовал CRON для планирования сканирования в 01:00. Я заметил, что сайты на хосте перестали отвечать. Такие вещи, как медленная реакция на отсутствие подключения к базе данных. Я проверил htop и увидел большое использование ресурсов. Поскольку было уже так поздно, я решил дать ему поработать, ожидая, что это будет сделано достаточно скоро. Приходите и обнаруживайте, что он все еще работает в 9 утра и вызывает спорадические отключения.
Ищу предложения по решению. Либо способ ограничить использование ресурсов, либо альтернатива Clam AV
Я уточню, что это сервер Cpanel. Модель потока - это взлом сайтов WordPress и сканирование файлов .php на предмет заражения. Я бы подумал, что сканирование стоит того.
for i in `awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq`; do /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/$i 2>>/dev/null; done >> /root/infections&
Это задание CRON, созданное для запуска ClamD. Сначала я понял, что у меня были резервные копии и Clamd запланированы одновременно. Однако после изменения времени я получаю тот же результат.
Посмотрев на htop, вы увидите, что работает несколько процессов clamd, и он снова максимизирует сервер.
Служба поддержки CPanel предложила удалить задание cron. Об использовании сервиса ходит много разговоров, но, прочитав все, я запутался еще больше.
Вы ничего не сказали нам о том, как вы сканируете файлы. То, что вы запускаете «запланированное» сканирование, скорее подразумевает, что вы запускаете clamscan или clamdscan, но вы не показали нам код, который вы используете. Есть много-много плохих способов реализовать это и только несколько хороших. Даже с хорошими он может быть довольно ресурсоемким (может помочь правильное использование ionice и nice).
Если вы запустите свой антивирусный сканер для одного файла, он потратит огромное количество времени и пропускной способности диска на загрузку данных отпечатка пальца (тогда очень короткое время на проверку файла). Если вы используете clamscan, переключитесь на clamd + clamdscan.
Переключение на другой AV не решит проблемы с вашей реализацией - IME sophos немного отличается от clamscan, хотя sophos также может быть настроен для работы в качестве демона, и агент может передавать ему файлы для проверки, но api не опубликовано, а Sophos не отправляет клиента.
Также очень мало вирусов для linux (и ни одного в активном обращении). Не существует модели угроз, разумно решаемой с помощью планового сканирования.