Das 2x wurde (ver.5.3.4 + 5.3.7) nun von meinem Hoster ein Schadcode entdeckt. Habe folgende Mail von denen bekommen um dies zu beheben.
Zusaetzliche Informationen zu den gefundenen Malware-Mustern erhalten Sie in der beigefuegten Text-Datei.
WICHTIG:
Wir setzen bei unseren Routine-Scans Suchmuster und Definitionen ein, welche regelmaessig aktualisiert werden. Wir koennen aber nicht garantieren, dass Dateien oder Applikationen, welche wir nicht melden, frei von jeglichem Risiko sind. Fuer die Wartung und Betreuung der eingesetzten Scripts zustaendig bleibt der Account-Inhaber resp. sein Webmaster.
Schau Dir doch mal die Dateien an! Vor allem natürlich die Filesystem.php! Am besten mal mit einer originalen Fielsystem.php vergleichen. Die Cache Files sind ja nicht so wichtig, denn die kann man schnell löschen…
Ich finde da jetzt nichts böses drin. Ggf. nutzt irgendein Schadcode ein vergleichbares Codepattern und es ist daher ein False-Positive. Aber ohne Gewähr LG
vielen Dank für das Posten des Inhalts. Es handelt sich dabei um eine Datei aus dem Symfony Framework.
Ich kann da aber nichts verdächtiges finden. Ich vermute eher, dass das Tool bei deinem Hoster diese aufgerundet gewisser Strukturen anmeckert, aber nichts an Schadcode vorhanden ist in der Datei. Ggf. müsste da der Hoster die Routine anpassen. So sieht das zum aktuellen Zeitpunkt für mich aus.
Ich konnte im Netz ähnliche Fälle finden, wo diese oder ähnliche Dateien beim Scannen aufgefallen sind, welche aber völlig in Ordnung waren.
Zu deiner Cache Datei kann ich so nichts sagen.
Grundsätzlich kann es aber passieren, dass ein Virus oder ähnliches FTP Daten vom PC ausspähen kann und dann Dateien auf dem Server modifiziert bzw. infiziert.
In diesem Fall sieht es aktuell aber nicht danach aus
Habe nun vom Domain-Hoster nach diversen Abklärungen folgende Antwort erhalten:
Es handelt sich bei den gemeldeten Malwarefällen scheinbar nicht um wirklich im Malware sondern um cache-Dateien in denen wohl Schadcode durch externe Zugriffe vorkommt. Leider konnten wir den Schadcode selbst nicht mehr anschauen, weil sie ihn bereits bereinigt haben. Bitte geben Sie uns beim nächsten mal Bescheid, dann schauen wir uns die Datei genauer an.
Die Datei /home/httpd/vhosts/vitaldo.ch/httpdocs/vendor/symfony/filesystem/Filesystem.php enthält keinen Schadcode und wird in die Ausnahmen aufgenommen, so dass sie nicht mehr als Malware erkannt wird.