Мне нужно запустить clamav для больших файлов. Мне было интересно, какая команда была самой быстрой между clamscan и clamdscan.
Но похоже, что clamdscan не работает должным образом: он сканирует файлы размером более 1 ГБ.
Не могли бы вы, ребята, помочь мне выяснить, почему чертовски clamdscan не работает? Какой между clamscan и clamdscan потребляет меньше ресурсов?
я бегу ClamAV 0.97.8/18037 на Ubuntu 12.04.3 LTS.
Ниже приведены результаты выполнения обеих команд:
clamscan myfile.zip
----------- SCAN SUMMARY -----------
Known viruses: 2864504
Engine version: 0.97.8
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Data read: 1024.16 MB (ratio 0.00:1)
Time: 9.145 sec (0 m 9 s)
clamdscan myfile.zip
/home/ubuntu/workspace/benchmark/myfile.zip: OK
----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.000 sec (0 m 0 s)
А вот и лог-файл clamav:
Wed Oct 30 10:26:32 2013 -> Received POLLIN|POLLHUP on fd 4
Wed Oct 30 10:26:32 2013 -> Got new connection, FD 9
Wed Oct 30 10:26:32 2013 -> Received POLLIN|POLLHUP on fd 5
Wed Oct 30 10:26:32 2013 -> fds_poll_recv: timeout after 5 seconds
Wed Oct 30 10:26:32 2013 -> Received POLLIN|POLLHUP on fd 9
Wed Oct 30 10:26:32 2013 -> got command CONTSCAN /home/ubuntu/workspace/benchmark/myfile.zip (51, 7), argument: /home/ubuntu/workspace/benchmark/myfile.zip
Wed Oct 30 10:26:32 2013 -> mode -> MODE_WAITREPLY
Wed Oct 30 10:26:32 2013 -> Breaking command loop, mode is no longer MODE_COMMAND
Wed Oct 30 10:26:32 2013 -> Consumed entire command
Wed Oct 30 10:26:32 2013 -> Number of file descriptors polled: 1 fds
Wed Oct 30 10:26:32 2013 -> fds_poll_recv: timeout after 3600 seconds
Wed Oct 30 10:26:32 2013 -> THRMGR: queue (single) crossed low threshold -> signaling
Wed Oct 30 10:26:32 2013 -> THRMGR: queue (bulk) crossed low threshold -> signaling
Wed Oct 30 10:26:32 2013 -> /home/ubuntu/workspace/benchmark/myfile.zip: OK
Wed Oct 30 10:26:32 2013 -> Finished scanthread
Wed Oct 30 10:26:32 2013 -> Scanthread: connection shut down (FD 9)
Wed Oct 30 10:26:32 2013 -> THRMGR: queue (single) crossed low threshold -> signaling
Wed Oct 30 10:26:32 2013 -> THRMGR: queue (bulk) crossed low threshold -> signaling
clamd будет сканировать файлы только до максимального размера. Бегать clamconf | grep MaxFileSize чтобы получить точный размер в вашей конфигурации. По умолчанию в моей системе установлено 25 МБ.
Кроме того, вы используете устаревшую версию Clam, которая не обнаружит последние вирусы. Вам следует немедленно обновиться до версии 0.98+.
Вам следует обновить свой freshclam.conf файл с OnOutdatedExecute команда, которая уведомляет вас, когда вам нужно обновить. Я использую следующее:
OnOutdatedExecute "printf 'Subject: ClamAV Outdated\n\nYour ClamAV is outdated, please update to %v' | sendmail me@example.com"
Редактировать:
Многие дистрибутивы Linux редактируют файлы конфигурации пакетов по умолчанию, пытаясь упростить понимание файлов конфигурации. В вашем случае они, вероятно, удалили некоторые или все элементы конфигурации, которые обычно полностью закомментированы (закомментированная директива просто вызывает значение по умолчанию, поэтому его полное удаление оказывает такое же влияние на работу, без всей «дополнительной» документации) . Короче, ваш файл конфигурации должен иметь следующее:
# Files larger than this limit won't be scanned. Affects the input file itself
# as well as files contained inside it (when the input file is an archive, a
# document or some other kind of container).
# Value of 0 disables the limit.
# Note: disabling this limit or setting it too high may result in severe damage
# to the system.
# Default: 25M
#MaxFileSize 30M
Оттуда довольно легко раскомментировать последнюю строку и указать нужный размер.