Re: clamd + hohe load + uw-imap
am 03.01.2008 12:23 schrieb Martin Steigerwald:
> Am Mittwoch 02 Januar 2008 schrieb Frank Lanitz:
>> Quoting Stefan Bauer <stefan.bauer@plzk.de>:
>> > Jemand eine Idee, was die hohe Load verursachen könnte?
>> > Leider schreibt clamd keinerlei Logs zu diesem Ereignis.
>>
>> Ohne große Erfahrung in dem Bereich, sind mir verschachtelte
>> ZIP-Dateien sofort in den Kopf gekommen. Man hat immer mal wieder von
>> hässlcihen Dingen gehört, die damit angefangen wurden.
>
> Da müsste es bei ClamAV eine Option geben, um die Rekursionstiefe zu
> beschränken...
Jau:
ArchiveMaxFileSize SIZE
Files in archives larger than this limit won't be scanned.
Value of 0 disables the limit.
Default: 10M
ArchiveMaxRecursion NUMBER
Limit archive recursion level.
Value of 0 disables the limit.
Default: 8
ArchiveMaxFiles NUMBER
Number of files to be scanned within an archive.
Value of 0 disables the limit.
Default: 1000
ArchiveMaxCompressionRatio NUMBER
Analyze compression ratio of every file in an archive and mark
potential archive bombs as viruses (0 disables the limit).
Default: 250
Die Standardwerte sind recht konservativ. Speziell der Default für
"ArchiveMaxCompressionRatio" ist m.E. viel zu knapp; gezippte Bitmaps
mit großen einheitlichen Farbflächen werden manchmal selbst bei 750 als
Bomben markiert. ;-)
Gruß,
Peter
Reply to: