Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Есть ли причина, по которой я не могу использовать команду find для сканирования измененных файлов на вирусы и вредоносное ПО?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Суть проблемы
  4. 2. Ограничения метода
  5. 3. Рекомендации
  6. Заключение

Вопрос или проблема

Мне нужно просканировать системы Linux на вирусы/вредоносные программы, просто всю файловую систему. Есть несколько вариантов, которые следует рассмотреть.

  • Один из них — это то, что обычно делают пользователи: использовать антивирус для сканирования системы раз в день.
  • Второй вариант — найти файлы, измененные за последний день, и передать этот список антивирусной программе.

Я протестировал следующую команду bash find в директории с 5 миллионами пустых файлов, и она очень эффективна.

date;find /test/ -type f -ctime -1 -type f 1>./find_ctime.out 2>./find.errors;date

Это занимает всего около 5 секунд.

Я использую опцию -ctime, чтобы обойти некоторые программы, изменяющие время модификации с помощью утилиты, такой как touch.

Большинство администраторов, когда они говорят о сканировании системы, имеют в виду полное сканирование антивирусом.

Есть ли причина, по которой не следует использовать find для получения списка измененных файлов и их сканирования?

К слову: этот вопрос опубликован по адресу https://superuser.com/questions/1864184/is-there-a-reason-why-i-cant-use-find-to-scan-modified-files-for-viruses-and-ma. Я публикую его здесь тоже, потому что не уверен, какой сайт лучше для этого.

Спасибо заранее,

Ответ или решение

Вопрос о сканировании файловой системы Linux на наличие вирусов и вредоносных программ с использованием команды find имеет несколько важных аспектов, которые стоит обсудить.

1. Суть проблемы

Вы правильно отметили, что использование антивирусных программ для сканирования всего файлового пространства системы является стандартной практикой. Однако идея отобрать и просканировать только те файлы, которые были изменены за определённый период времени (например, за последний день), кажется логичной, особенно учитывая вашу оценку производительности команды find.

2. Ограничения метода

Несмотря на эффективность команды find, существуют несколько причин, по которым данное решение может быть не оптимальным:

  • Не все измененные файлы могут быть вредоносными: Вредоносные программы могут использовать различные техники для сокрытия своего присутствия, включая изменение временных меток. Если ваш метод основывается только на времени модификации файла, он может пропустить заражённые файлы, которые не были изменены в последний день. К тому же, некоторые вирусы могут вообще не изменять время модификации.

  • Класс файлов: Не все файлы потенциально опасны. Например, конфигурационные файлы или данные приложений могут изменяться регулярно, но не представляют угрозу. Сканирование таких файлов может увеличить нагрузку на систему без реальной пользы.

  • Проблемы с производительностью антивируса: Многие антивирусные программы могут эффективно работать только с полными сканированиями, особенно когда речь идет о базах данных сигнатур. Ограничение их работы только файлами, измененными за последние 24 часа, может привести к менее эффективному обнаружению.

  • Пропуск важных компонентов: Если система была заражена, многие вредоносные программы могут пытаться скрыть себя, изменяя свой путь к файлам или даже удаляя свои следы. Сканирование только измененных файлов рискует пропустить их.

3. Рекомендации

  • Полное сканирование: Рекомендуется продолжать использовать полное сканирование систем антивирусами. Это гарантирует, что все файлы проверяются на наличие угроз, даже если они не были изменены в недавнем времени.

  • Планирование и оптимизация: Используйте плановые задания для периодического сканирования. Например, настройте его на ночные часы, когда активность пользователей минимальна, чтобы минимизировать нагрузку на систему.

  • Дополнительные инструменты: Рассмотрите возможность использования других инструментов безопасности, таких как системы обнаружения вторжений (IDS), которые могут выявлять подозрительную активность и действия в реальном времени.

  • Обучение и осведомленность: Убедитесь, что ваши пользователи осведомлены о безопасных практиках работы с файлами и приложениями, что также может помочь снизить риск заражения.

Заключение

Хотя использование find для выделения измененных файлов может показаться практичным и быстрым методом, в долгосрочной перспективе полное сканирование, поддерживаемое хорошими практиками безопасности, окажется более надежным подходом для защиты вашей системы от вирусов и вредоносного ПО.

anti-virus find linux
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности