Regelmässige Malware-Scans

Produkte:
Reseller Hosting
Webhosting

Unsere Systeme werden regelmässig vollständig auf Malware und weiteren Schadcode geprüft. Hierbei werden die gefundenen Dateien, um einen Kollateralschaden zu vermeiden, vorübergehend deaktiviert und eine Information an den Account-Inhaber per E-Mail zugesandt.

Aus welchem Grund werden die Scans ausgeführt?
Dateien, welche Schadcode enthalten, können zur Verbreitung unerwünschter Massen-E-Mails und/oder zur potentiellen Infizierung von Rechnern der Webseitenbesuchern verwendet werden. Um den Schaden so gering wie möglich zu halten, werden aktiv solche Malware-Scans durchgeführt.

Inwiefern tangiert mich das?
Kunden und Geschäftspartner vertrauen darauf, dass Ihre Webseite sicher ist. Durch Malware auf der Webseite wird dieses Vertrauen stark beeinträchtigt oder ganz zerstört. Kunden, die vor Malware auf Ihrer Webseite gewarnt oder sogar davon infiziert werden, vertrauen Ihrer Webseite und folglich auch Ihrem Unternehmen/Ihrer Organisation nicht mehr.

Wenn Ihre Webseite Malware enthält, zeigen Web-Browser und Suchmaschinen potentiell eine Warnmeldung darüber an, dass Ihre Website gefährlich ist. Die Webseite bzw. die Domain kann auf „schwarze Listen“ gesetzt bzw. je nach Umstand auch komplett temporär vom Netz genommen werden.

Generelle Risiken nach Einschleusung von Schadcode:

- Manipulation der Webseiteninhalte
- Löschung der Inhalte
- Diebstahl sicherheitsrelevanter Daten
- Ergänzung von Code zur Infizierung der Webseiten-Besucher
- Blockierung der Seite bei Google und weiteren Suchmaschinen
- Blockierung Ihrer .ch/.li-Domain durch SWITCH
- Blockierung der Domain bei stopbadware und somit auch bei allen gängigen Browsers
- Reputationsschaden bei Besuchern und Suchmaschinen

Hier finden Sie weitere, verständlich erklärte Informationen zum Thema Malware.

Was ist zu tun, wenn ich eine Missbrauchsmeldung erhalten habe?
Im E-Mail erhalten Sie die Instruktionen zu den notwendigen Massnahmen. Bitte führen alle Schritte aus, damit es nicht zu einer erneuten Kompromittierung kommt:

  1. Umgehende Prüfung und Aktualisierung jeglicher eingesetzten Web-Applikationen.
  2. Prüfung aller Arbeitsstationen mit FTP-Zugriff auf die genannte Webseite auf Viren und Trojaner.
  3. Allfällige Umstellung auf verschlüsselten FTP-Verkehr.
  4. Änderung des FTP-Passworts via Plesk Admin-Tool.
  5. Entfernung des Schadcodes
  6. Meldung an METANET
  7. Regelmässige Wartung und Aktualisierung eingesetzer Web-Applikationen


Wie konnte der Schadcode eingeschleust werden?
Solche Fälle können passieren wenn
- das eingesetzte Tool/CMS sowie Plugins und Themes nicht regelmässig aktualisiert werden (Sicherheitslücken).
- Dateien und Ordner unsichere Berechtigungen (chmod 777) haben.
- unsichere Passwörter für die FTP-Benutzer verwendet werden.

Meine Umgebung ist auf einem aktuellen Stand. Es ist unklar, wie dies passieren konnte. Wer kann bei der Ursachenforschung helfen?
Wir empfehlen Ihnen die Dienste der Unternehmung Sucuri. Alle Details finden Sie unter https://sucuri.net

An welche E-Mail-Adresse wird die Information gesendet?
Das E-Mail wird an die im Plesk hinterlegte E-Mail-Adresse vom Kunden oder bei Reseller-Systemen vom Reseller gesendet. Diese E-Mail-Adresse kann jederzeit im Plesk selbstständig angepasst werden.

Weshalb erhielt ich die Meldung über bereits gesperrte Dateien mit einer Verzögerung und nicht umgehend?
Wir führen täglich einen Scan aller in den letzten 24 Stunden geänderten Dateien durch. Dadurch erfolgt die Benachrichtung über Schadcode nur einmal täglich. Gleichzeitig mit dem Versand der Benachrichtigung erfolgt die Sperrung der betroffenen Dateien.

Auf die Dateien können nicht zugegriffen werden, weshalb?
Beachten Sie hierzu, dass die Dateien deaktiviert wurden. Um die Dateien zu säubern oder herunterzuladen, können Sie die Berechtigung jederzeit übers Plesk oder mit einem FTP-Programm anpassen (chmod 600).

Die Dateien sind bereits seit mehrere Tagen/Wochen auf dem Server, warum werden diese erst jetzt gemeldet?
Meistens trifft in diesem Fall einer der beiden Gründe zu:
- Das Muster des Schadcodes wurde neu in der Malware-Datenbank ergänzt und war zuvor noch unbekannt.
- Der Inhalt der Datei wurde unterdessen geändert und Schadcode eingeschleust. Als Anhaltspunkt werden in der Benachrichtigung daher die gefundenen Dateien mit dem Zeitstempel der letzten Änderung angezeigt.

Die Dateien gehören einem anderen Benutzer, wie ist dies möglich?
Dateien auf dem Server von anderen Domains aus zu streuen ist möglich, sobald Verzeichnisse unsichere Berechtigungen, zum Beispiel chmod 777, aufweisen. Somit kann mit einem Editor in dieses Verzeichnis gewechselt werden und Dateien erstellt oder sogar entfernt werden.

Die Domain löst nicht auf den Server auf oder ist nicht aktiviert, aus welchem Grund erhalte ich trotzdem die Nachricht?
Der Scan wird auf allen Dateien ausgeführt, welche auf dem System vorhanden sind, unabhängig davon, ob die Domain aktiv ist oder nicht.
Da auch diese Dateien ein Risiko darstellen, entfernen oder säubern Sie bitte alle Dateien.

Unter den Dateien sind legitime Dateien gemeldet, was kann ich tun?
Es kann vorkommen, dass legitime Dateien vom Scanner aufgrund von gewissen Suchmustern als Schadcode eingestuft werden. Bitte melden Sie uns solche false positive Dateien mit dem vollständigen Pfad und einer kurzen Erklärung, damit wir diese für den nächsten Scan ausschliessen können.

Kann METANET einen erneuten Scan durchführen?
Sobald alle Massnahmen vorgenommen wurden und somit die Bereinigung durchgeführt wurde, kann durch uns der Scan jederzeit wiederholt werden. Hierzu antworten Sie bitte auf das erhaltene E-Mail.

Welche Konsequenzen hat es, wenn keine oder nicht alle Massnahmen durchgeführt werden?
Wiederholungsfälle können zu einer Sperrung der Domain führen, das heisst die Domain wird mit einem Passwort vor Webseitenbesuchern geschützt.

Auf welcher rechtlichen Grundlage erfolgt diese Sperrung?
Dies ist in den AGB unter Ziffer 4.5 "Recht zur Leistungseinstellung [..]" definiert:

METANET ist [..] bei Nichteinhaltung einer Pflicht gemäss Ziffer 5 sowie 6.4 durch den Kunden - sei dies absichtlich, unwissentlich oder fremdverschuldet - zur umgehenden Einstellung ihrer Leistungen bzw. Sperrung oder Entfernung des betreffenden Kundenaccounts, Servers, Dienstes, Inhalts, Programms usw., berechtigt.

Wie können solche Kompromittierungen vermieden werden?
Hierzu beachten Sie bitte unsere Sicherheitsrichtlinien.