Virenmeldung auf dem Server

    Guten Morgen alle miteinander -


    sowas hatte ich auch noch nicht. Neulich hatte ich im Internetexplorer (Test-Browser) bei einer seite einen Hinweis auf einen gefundenen Virus. (Virenmeldung als jpg)

    Okay - in Firefox und Chrome war alles i.o.

    Zur Sicherheit hab ich ein Backup der Seite mal auf einem anderen Server installiert (um zu schauen, ob der was findet - denn der 1. (Mittwald) fand nix.

    Ja - was soll ich sagen - heute kam die Meldung.

    LOGS DER GEFUNDENEN PROBLEME

    letzter Scan vom 2020-04-02 02:04:31: insgesamt 20 Probleme gefunden.

    Empfohlene Sicherung sollte älter sein als das Datum 2020-03-18 09:37:48!

    Scan vom 2020-04-02 02:04:31:

    /sittetest.de/templates/yootheme/cache/223A3916-eb7418d0.jpeg

    /sittetest.de/templates/yootheme/cache/Einrichtungshaus_Sitte_Sideboard_nex-4-8dc85212.jpeg

    /sittetest.de/templates/yootheme/cache/223A3903-2a09db7d.jpeg

    /sittetest.de/templates/yootheme/cache/223A3822-381073f7.jpeg

    /sittetest.de/templates/yootheme/cache/223A3885-6af7b50d.jpeg

    /sittetest.de/templates/yootheme/cache/223A0180-94e4d53a.jpeg

    /sittetest.de/templates/yootheme/cache/223A3859-785ad80f.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3822-84962e7b.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3859-9834631a.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3822-dc148b0e.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3903-52268d10.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3885-c5c462a7.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/Einrichtungshaus_Sitte_Sideboard_nex-4-8dc85212.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3903-1750183a.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3885-8ef34df4.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/Dressing_shaker_LowRes_CMYK-6863715c.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3859-00758e62.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3916-0f70e029.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A3916-a64161c2.jpeg

    /sittetest.de/templates/yootheme/cache_OFF/223A0180-94e4d53a.jpeg



    Jetzt sind das aber ja alles .jpegs. Kann ein Bild überhaupt einen Virus transportieren? Meine Bilder dürften alle mit Meta- und IPTC Daten versehen sein. Die ganzen 223AXXXX sind wahrscheinlich direkt von mir - Mit Lightroom verarbeitet - evtl. noch mit PS.
    Nachdem ich ziemlich viele Bilder auch bei anderen Seiten aber hoch und runter lade und dort KEINE Fehlermeldung kommt - kann man das doch eigentlich ausschliessen.
    Demnach dürfte der schadcode ja AUF DEM MITTWALD dazu gekommen sein, oder seh ich da was falsch?

    Und die HAMMER Frage:
    WIE krieg ich das Scheiss Ding wieder los? ich hatte schon mal probiert Daten runter zu laden und neu zu speichern und hoch zuladen - hat aber nix gebracht...

    Ich bin echt überfragt.

    Es ist natürlich keine besonders gute Idee, infizierte Dateien von hier nach da rumzukopieren, Virus heißt (auch) deshalb Virus, weil er sich vermehrt oder anderen Infekten hilft, sich zu vermehren. Sobald er in die richtige Umgebung kommt. Die sind ja geduldig...

    Und warum denkst du, dass runterladen und neu hochladen Infekte entfernt? Du verteilst sie im blödsten Fall nur.


    Zitat von flowmotion

    Kann ein Bild überhaupt einen Virus transportieren?

    Klar. Entweder als "scheinbares Bild", eine Dateiendung hat ja nichts zu sagen oder als "Hilfsbild", es enthält Daten, z.B. Exif, die von "echten Codedateien" genutzt werden oder durch manipulierte Header-Daten des Bildes.

    Zitat von flowmotion

    Okay - in Firefox und Chrome war alles i.o.

    Zitat von flowmotion

    denn der 1. (Mittwald) fand nix.

    Hat beides generell nichts zu sagen. 1) Nicht alle Scanner finden alles. 2) Ein Scanner kann auch ein sog. False Positive erzeugen.

    Zitat von flowmotion

    WIE krieg ich das Scheiss Ding wieder los?

    Mühsam. Du hast eine Kennung in deinem Meldungs-Bild. Der musst su hinterherrecherchieren. Da es sich VERMUTLICH um einen Infekt handelt, der auf das Betriebssystem deines Rechners abzielt, wäre also erst mal ein Total-Scan deines Rechners nötig. Ich verwende meistens Desinfect von Heise dafür, da das mehrere Scanner verwendet. Kann allerdings paar Tage dauern.


    "VERMUTLICH" deswegen, da auch solche Infekte "mutieren" können. Die Grundidee bleibt die gleiche, aber befällt dann eben andere "Organe".


    Und dann musst halt deinen Webspace bereinigen und in diesem Fall alle Bilder besonders sorgsam inspizieren.


    Als größte Gefahr sehe ich übrigens, dass deine Seite vermutlich Viren verteilt bzw. verteilen könnte.


    https://docs.microsoft.com/en-…tyBulletins/2004/ms04-028

    Und halte auch immer die Software auf dem Rechner aktuell, egal ob sie verwendet wird oder nich!

    Ich erlebe es immer wieder, dass z.B. ein veraltetets FileZilla verwendet wird. Auch PDFs enthalten gerne mal einen Virus.


    Und war im Eröffnungsbeitrag tatsächlich vom Internet Explorer die Rede? Dieser wurde schon vor längerer Zeit von Microsoft als sicherheitsgefährdend eingestuft. Auf eine Empfehlung, seinen direkten Nachfolger zu nutzen, hat Microsoft tatsächlich auch verzichtet.

    Hallo Leute -
    danke erstmal für die Antworten. Ja - es war vom IE die Rede. Als testbrowser - nicht produktiv im einsatz :) -
    Alles andere ist aktuell - da achte ich wirklich drauf (ON & Offline)

    Das hin und her kopieren ist in der tat mit risiko beheftet . Ich dachte nur, die all inkl scanner sind einfach wesentlich exakter , wie vllt. die von Mittwald.
    Der Hinweis mit den False Positive kam auch von allinkl vorhin. Aber hilft mir das auch weiter? die Virenwarnung wird dann ja trotzdem ausgespielt - und wie kann ich als doofer Anwender denn sagen, ob die virenwarnung echt ist oder nicht, wenn schon die Gurus beim hoster das anscheinend nicht wissen. Schwierig.

    Den Hinweis mit dem vorustotal etc. geh ich mal nach! Guter Tipp - danke.

    Anonsten fehlt mir echt a idee wie ich das zeug wieder sauber kriegen könnte.

    (Nur) ClamAV schlägt bei Virustotal Alarm. Ich vermute auch einen False Positive.


    Evtl. mal hier einsenden:

    https://www.clamav.net/reports/fp


    Du könntest ein paar Tests mit anderen Meta/IPTC Daten anstellen.

    Vielleicht die flow-..... URL rausnehmen und Virustotal die Datei jeweils prüfen lassen.


    Die Bilder liegen alle im Cache Verzeichnis.. Habe die Originale auch das Problem?

    Zitat von flowmotion

    Ja - es war vom IE die Rede. Als testbrowser - nicht produktiv im einsatz

    Zur Klärung: Bei mir war nicht die Rede vom IE, sondern vom Betriebssystem des lokalen Rechners. Letztlich ist der Browser egal, wenn damit die Dateien auf egal welchen Rechner kommen, der anfällig für die Schadsoftware ist. Auf anfällige Rechner können sie dann aber auch durch Weiterreichen kommen, selbst, wenn der erste Rechner nicht anfällig ist.

    Zitat von flowmotion

    Anonsten fehlt mir echt a idee wie ich das zeug wieder sauber kriegen könnte.

    Wenn es keine False Positives sind, steht das ja oben. Irgendwie hast die Bilder ja hochgeschaufelt und das ist ja vermutlich von deinem Rechner aus, falls deine WebSeite nicht so gehackt ist, dass jemand anders Bilder etc. manipulieren oder hochladen kann.


    Also schaltet man die Webseite mit .htacces aus und fängt erst mal beim eigenen Rechner an. Das Tool ist oben verlinkt.


    Website-Crawler finden nie alles, was denkbar ist. Sie werden immer "besser", je nach Hoster. Daraus ergibt sich aber auch, genauso wie bei einem zu scharf eingestellten Viren-Scanner auf dem eigenen Rechner, dass einiges Gefundene einfach nicht dramatisch ist und/oder nur "harmloses Beiwerk" ist.

    ok ok - aber - nur mal von der grundsätzlichen Logik her - wenn es auf dem Rechner ist - das Mistding - und ich bei anderen Websites in der Zeit auch Bilder hochgeladen habe - müsste doch dann da auch eine Meldung kommen, oder denke ich falsch?

    kitepascal : "Die Bilder liegen alle im Cache Verzeichnis.. Habe die Originale auch das Problem? " - ähm... wenn du mir jetzt noch verrätst, wie ich das checken kann, dann sag ich das auch gerne. Da ist wieder das Problem, dass ich halt einfach kein ITler bin :)

    Bis hier aber schon mal ein Mega danke an die Beteiligung!

    Zitat von flowmotion

    ok ok - aber - nur mal von der grundsätzlichen Logik her - wenn es auf dem Rechner ist - das Mistding - und ich bei anderen Websites in der Zeit auch Bilder hochgeladen habe - müsste doch dann da auch eine Meldung kommen, oder denke ich falsch?

    Und wenn das Mistding immer wieder automatisch (z.B. täglich/wöchentlich/monatlich) seine "Hülle" und oder "Inhalt" z.B. ändert und daher nicht so leicht gefunden werden kann bzw. will usw...