Ich bin gerade so richtig angefressen ...

Vor zwei Monaten kam von all-inkl eine Mail über einen Virenfund. Nachgesehen und angeblich sollte es einen Virus "Html.Malware.Agent-5746950-0" in der Datei "/admin/includes/modules/fckeditor/editor/_source/classes/fckpanel.js" des Shops geben. Datei überprüft und für gut befunden. Die Datei befand sich noch im Originalzustand und bei virustotal.com gab es lediglich einen Hit durch ClamAV. An den Support gemailt und die haben die Datei dann auf die Whitelist gesetzt.

Heute morgen ein neuer Fall. Angeblich ein Virus "Txt.Malware.Agent-6162558-0" in der Datei "/admin/includes/modules/fckeditor/editor/_source/internals/fck_gecko.js". Auch diese Datei ist völlig in Ordnung und wieder ist es nur ClamAV lt. virustotal (die Datei wurde übrigens vor 5 Tagen schon mal zur Prüfung eingereicht).
Der Support schlug dieses Mal vor, einen "False Positive Report" bei ClamAV zu erstellen. Sehe ich zwar nicht als meine Aufgabe an, aber es war schnell erledigt.

Da ich die Datei in der Zwischenzeit wieder aus der Quarantäne (chmod 0 und umbenannt) entfernt hatte, gab es am Mittag eine erneute Mail mit dem gleichen Fund wie am Morgen - irgendwie ja auch logisch ...

Die Krönung war aber am Nachmittag eine persönliche Mail vom Support:

all-inkl hat geschrieben:Betreff: letzte Aufforderung wegen Viren
Sehr geehrter Herr xxx,

Hinweis: diese Information ist für den zuständigen Webmaster bestimmt. Sind Sie selbst nicht der Webmaster, so leiten Sie diese Nachricht bitte weiter:

Bitte kümmern Sie sich umgehend um das Virenproblem im Account xxx.

Um die Sicherheit und Integrität unseres Servers nicht zu gefährden und um Besucher Ihrer Webseite keinem möglichen Virenbefall auszusetzen, werden wir bei einem weiteren Problem den Account für Webzugriffe sperren müssen.

Wir haben Sie in der Vergangenheit diesbezüglich mehrfach kontaktiert und um eine Lösung des Problems gebeten, leider scheint jedoch eine mögliche Sicherheitslücke weiterhin im System zu bestehen oder aber jemand besitzt nach wie vor die Zugangsdaten zu Ihrem Webspace.

Oftmals handelt es sich im Bereich Webhosting bei den gefundenen Viren um sogenannte Scriptviren. Charakteristisch bestehen diese oft aus wenigen Schadcodezeilen, welche meist unkenntlich gemacht werden um diese besser zu verstecken. Normale Virenscanner erkennen in aller Regel diese Viren nicht und auch unser Scanner hat nur eine begrenzte Trefferquote. Es ist daher sehr wahrscheinlich, dass noch weitere unerkannte Viren auf dem Webspace liegen.

Es muss zudem davon ausgegangen werden, dass auch unsere Backups mit Viren verseucht sind, so dass ich Ihnen nur empfehlen kann, den Webspace komplett zu leeren. Im Anschluss können Sie diesen wieder neu mit aktueller Software aufsetzen.

Nennen Sie uns daher bitte Ihre unternommenen Maßnahmen, um das Problem zu lösen!

Mit freundlichen Grüßen
xxx xxx
Supportteam

Ich empfinde das als äußerst unverschämt und das habe ich denen auch geschrieben.

ClamAV ist im Netz für "false positives" hinlänglich bekannt. Was kann der Kunde dafür, wenn der Provider so eine Schrottsoftware einsetzt?

Zudem ist der /admin/ Bereich noch durch einen Verzeichnisschutz abgesichert, so dass da kein Besucher hinkommt.

Da ich den FCK Editor noch nie benutzt habe, stört mich die Quarantäne nicht, aber die drohen mit der Sperre des Accounts.

Die sollen erst mal ordentlich recherchieren, bevor so etwas an den Kunden geht.

Bisher war ich von all-inkl recht angetan, aber so etwas geht überhaupt nicht.

Zum Abschluss meiner Mail habe ich noch darauf hingewiesen, dass ich im Fall einer Sperrung ggf. Schadensersatzansprüche geltend machen werde.

Der Support ist dort die letzten zwei Jahre immer schlechter geworden. Nach meinem letzten telefonischen Kontakt hatte ich schon überlegt, eine schriftliche Beschwerde zu verfassen - ist mir der Laden aber nicht wert. Werde jetzt Stück für Stück alles dort weg ziehen, nach weit über zehn Jahren. Technisch ist die Konkurrenz schon längst über alle Berge.

Zu welcher Konkurrenz zieht es dich denn?

Würde mich auch interessieren. Wohin?

Hab vor nem Jahr ca. ein ähnliches pingpong Intermezzo mit deren Support gehabt... Nach 6-7 Wochen hatte es sich dann.
Gefühlt ist deren Support wirklich schlechter geworden - wobei man auch sagen muss, dass deren Support (ebenfalls gefühlt) schon sehr sehr schnell und gut war früher 5-6 Jahren (sowie davor).

Gesendet von meinem E5823 mit Tapatalk

Ich muss hier den Support von all-inkl mal loben,
haben mir letztens sehr gut und ausführlich geholfen.
Also das kann man nicht verallgemeinern.

Allgemein kann ich mich über den Support dort auch nicht beklagen. Ich wollte lediglich auf eine Praxis hinweisen, die für mich völlig indiskutabel ist. Und natürlich auch dokumentieren, dass man dort eine minderwertige (oder zumindest fragwürdige) Lösung für den Virenschutz einsetzt.

Inzwischen hat man sich zwar nicht entschuldigt, aber wenigstens auch die zweite Datei auf die Whitelist gesetzt und den Zähler für Virenereignisse genullt. Angeblich wäre die o.a. Mail mehr oder weniger automatisch versendet worden, aber ich gehe davon aus, dass da noch jemand aktiv werden muss, bevor so eine Mail raus geht. Den Vorwurf, dass in diesem Fall unzureichend überprüft wurde, lasse ich daher stehen.

ClamAV ist halt Open Source und kostet nichts, deshalb wird es eingesetzt (und mitunter sogar in kommerziellen Produkten wie Cisco AMP for Endpoint!). Ich habe die besagte Mail auch schon zweimal vom Support erhalten und sie bislang ignoriert, weil ich genau weiß, dass es sich um false positives handelt.

Die Vorgehensweise von all-inkl halte ich allerdings auch für fragwürdig. Seltsam eigentlich, weil deren Support sonst wirklich sehr gut ist.