[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: clamd + hohe load + uw-imap

am 03.01.2008 12:23 schrieb Martin Steigerwald:
> Am Mittwoch 02 Januar 2008 schrieb Frank Lanitz:
>> Quoting Stefan Bauer <stefan.bauer@plzk.de>:
>> > Jemand eine Idee, was die hohe Load verursachen könnte?
>> > Leider schreibt clamd keinerlei Logs zu diesem Ereignis.
>>
>> Ohne große Erfahrung in dem Bereich, sind mir verschachtelte
>> ZIP-Dateien sofort in den Kopf gekommen. Man hat immer mal wieder von
>> hässlcihen Dingen gehört, die damit angefangen wurden.
> 
> Da müsste es bei ClamAV eine Option geben, um die Rekursionstiefe zu 
> beschränken...

Jau:

ArchiveMaxFileSize SIZE
       Files in archives larger than this limit won't be scanned.
       Value of 0 disables the limit.
       Default: 10M

ArchiveMaxRecursion NUMBER
       Limit archive recursion level.
       Value of 0 disables the limit.
       Default: 8

ArchiveMaxFiles NUMBER
       Number of files to be scanned within an archive.
       Value of 0 disables the limit.
       Default: 1000

ArchiveMaxCompressionRatio NUMBER
       Analyze compression ratio of every file in an archive and mark
       potential archive bombs as viruses (0 disables the limit).
       Default: 250

Die Standardwerte sind recht konservativ. Speziell der Default für
"ArchiveMaxCompressionRatio" ist m.E. viel zu knapp; gezippte Bitmaps
mit großen einheitlichen Farbflächen werden manchmal  selbst bei 750 als
Bomben markiert. ;-)

Gruß,
Peter
Reply to: