[ispprotect] inkrementeller scan funktioniert nicht (?)

[noonecanhide]

Hallo,

ich habe mir heute die jährliche Variante von ispprotect gekauft, und bin eben am einrichten der cron jobs. Allerdings teste ich diese erst händisch von der Shell aus, und dabei ist mir aufgefallen, dass der an sich inkrementell erfolgende Scan genau so viele Dateien scannt, wie der volle Durchlauf.

Gestartet habe ich die Ausführung mit:

 /usr/local/ispprotect/ispp_scan --update && /usr/local/ispprotect/ispp_scan --no-version-scan --path=/var/www --email-results=meine@email.tld --non-interactive --max-age=2 --scan-key=1234567890

Der Durchlauf dauert allerdings wie der volle Durchlauf um die 45 Minuten und zeigt auch die ungefähr selbe Menge an zu scannenden Dateien an.

Scanner is up to date.
... cut ...
ionCube Check succeeded.
Starting malware scan.
This can take a long, long time depending on the server hardware and the amount of files ...

!!! DO NOT INTERRUPT THE SCRIPT !!!!

After the scan is completed, you will find the results also in the following files:
Malware => /usr/local/ispprotect/found_malware_20170119134324.txt
Starting scan level 1 ...
Scanning 138341 files now ...
Scan level 1 completed. 0 hits.
Starting scan level 2 ...
Scanning 55380 files now ...
Scan level 2: 32,713/55,380 (59%) completed. 0 hits. [ETA 00:13:30]                      ]

Server ist eine virtuelle Maschine mit 4 Kernen, 16 GB RAM und SSD, und läuft auf Ubuntu 16.04 LTS mit ISPConfig 3.1 (PHP7)

P.S.: Wie ist denn der offizielle Support-Pfad für ISPProtect ?

 

[Till]

Danke für den Hinweis, ich sehe mir das mal an.

P.S.: Wie ist denn der offizielle Support-Pfad für ISPProtect ?

Das Forum ist nur für ISPConfig, support für ISPProtect erhältst Du hier:

http://www.ispconfig.org/get-support/?type=ispprotect

 

[florian030]

Ich kann das nicht reprdouzieren....
./ispp_scan --path=/var/www/clients --max-age=2 --scan-key=4
Scanning 402 files now ...
^C
ISPProtect scan aborted by user.
Please be aware that this scan won't be refunded on per-scan-licenses.


und
./ispp_scan --path=/var/www/clients --scan-key=4
Scanning 76384 files now ...


Evtl. sind die Files in den Verzeichnissen nur nicht alt genug?

 

[Till]

Ich habe es auch getestet und bei mir geht es auch.

Wie Florian vermutet sind die Dateien vielleicht nicht alt genug, möglicherweise hast Du sie vor kurzem kopiert oder verschoben, es kommt dabei nicht auf das Datum an was Du z.B. mit "ls -la" siehst (modifid Date) sondern Du musst Die Datei mal mit dem stat Befehl prüfen wie das "changed" Date ist. Denn das Modified Date kann man ja beliebig für eine Datei setzen und Malware macht das zum Teil auch um ihren Installationszeitpunkt zu verschleiern.

 

[noonecanhide]

Hi,

danke für eure Antworten, auch wenn es hier nicht die richtige Stelle ist. Ihr lagt beide richtig, Till hat dann ins schwarze getroffen. Die Dateien an sich waren schon alt genug, allerdings hat mein Backup-Script irgendwie die unangenehme Eigenart das "changed-Date" bei jedem täglichen Durchlauf zu aktualisieren. Kurzum tar | gpg | output. Habe das entsprechende Attribut gefunden, und das Problem so vorläufig behoben, allerdings werde ich mich jetzt wohl doch einmal mit duplicity befassen müssen.

Vielen Dank !