Vor zwei Monaten kam von all-inkl eine Mail über einen Virenfund. Nachgesehen und angeblich sollte es einen Virus "Html.Malware.Agent-5746950-0" in der Datei "/admin/includes/modules/fckeditor/editor/_source/classes/fckpanel.js" des Shops geben. Datei überprüft und für gut befunden. Die Datei befand sich noch im Originalzustand und bei virustotal.com gab es lediglich einen Hit durch ClamAV. An den Support gemailt und die haben die Datei dann auf die Whitelist gesetzt.
Heute morgen ein neuer Fall. Angeblich ein Virus "Txt.Malware.Agent-6162558-0" in der Datei "/admin/includes/modules/fckeditor/editor/_source/internals/fck_gecko.js". Auch diese Datei ist völlig in Ordnung und wieder ist es nur ClamAV lt. virustotal (die Datei wurde übrigens vor 5 Tagen schon mal zur Prüfung eingereicht).
Der Support schlug dieses Mal vor, einen "False Positive Report" bei ClamAV zu erstellen. Sehe ich zwar nicht als meine Aufgabe an, aber es war schnell erledigt.
Da ich die Datei in der Zwischenzeit wieder aus der Quarantäne (chmod 0 und umbenannt) entfernt hatte, gab es am Mittag eine erneute Mail mit dem gleichen Fund wie am Morgen - irgendwie ja auch logisch ...
Die Krönung war aber am Nachmittag eine persönliche Mail vom Support:
Ich empfinde das als äußerst unverschämt und das habe ich denen auch geschrieben.all-inkl hat geschrieben:Betreff: letzte Aufforderung wegen Viren
Sehr geehrter Herr xxx,
Hinweis: diese Information ist für den zuständigen Webmaster bestimmt. Sind Sie selbst nicht der Webmaster, so leiten Sie diese Nachricht bitte weiter:
Bitte kümmern Sie sich umgehend um das Virenproblem im Account xxx.
Um die Sicherheit und Integrität unseres Servers nicht zu gefährden und um Besucher Ihrer Webseite keinem möglichen Virenbefall auszusetzen, werden wir bei einem weiteren Problem den Account für Webzugriffe sperren müssen.
Wir haben Sie in der Vergangenheit diesbezüglich mehrfach kontaktiert und um eine Lösung des Problems gebeten, leider scheint jedoch eine mögliche Sicherheitslücke weiterhin im System zu bestehen oder aber jemand besitzt nach wie vor die Zugangsdaten zu Ihrem Webspace.
Oftmals handelt es sich im Bereich Webhosting bei den gefundenen Viren um sogenannte Scriptviren. Charakteristisch bestehen diese oft aus wenigen Schadcodezeilen, welche meist unkenntlich gemacht werden um diese besser zu verstecken. Normale Virenscanner erkennen in aller Regel diese Viren nicht und auch unser Scanner hat nur eine begrenzte Trefferquote. Es ist daher sehr wahrscheinlich, dass noch weitere unerkannte Viren auf dem Webspace liegen.
Es muss zudem davon ausgegangen werden, dass auch unsere Backups mit Viren verseucht sind, so dass ich Ihnen nur empfehlen kann, den Webspace komplett zu leeren. Im Anschluss können Sie diesen wieder neu mit aktueller Software aufsetzen.
Nennen Sie uns daher bitte Ihre unternommenen Maßnahmen, um das Problem zu lösen!
Mit freundlichen Grüßen
xxx xxx
Supportteam
ClamAV ist im Netz für "false positives" hinlänglich bekannt. Was kann der Kunde dafür, wenn der Provider so eine Schrottsoftware einsetzt?
Zudem ist der /admin/ Bereich noch durch einen Verzeichnisschutz abgesichert, so dass da kein Besucher hinkommt.
Da ich den FCK Editor noch nie benutzt habe, stört mich die Quarantäne nicht, aber die drohen mit der Sperre des Accounts.
Die sollen erst mal ordentlich recherchieren, bevor so etwas an den Kunden geht.
Bisher war ich von all-inkl recht angetan, aber so etwas geht überhaupt nicht.
Zum Abschluss meiner Mail habe ich noch darauf hingewiesen, dass ich im Fall einer Sperrung ggf. Schadensersatzansprüche geltend machen werde.