Heute Mittag erreichte mich eine EMail meines Hosters mit dem folgenden Titel "Malware auf Ihrem Server 87.230.26.186". Erster Gedanke: "What the hell?" Was ist denn da passiert kombiniert mit einem "Oh Shit". Da ich gerade mit einem Kollegen in der Mittagspause am Bäcker stand habe ich das ganze nur registriert und auf später verschoben. Hätte eh nicht viel von unterwegs unternehmen können.

Bei der ersten Gelegenheit habe ich das ganze einmal genauer studiert. Es war keine nativ von meinem Hoster stammende Meldung. Konkret hat im Serviceteam von Hosteurope lediglich eine Abusemeldung von Gerhard W. Recher, tätig für das Unternehmen net4sec UG, weiter geleitet. Ich vermute sogar ohne weitere Prüfung, es wurde lediglich von mir verlangt das ich dazu Stellung nehme:

"Sehr geehrte Damen und Herren,

wir haben für Ihren Server folgende Beschwerde erhalten.

Bitte prüfen Sie dies und nehmen dazu per Antwort auf unsere E-Mail Stellung."

Zum einen empfinde ich das als unprofessionell einfach unreflektiert solche Meldungen zu versenden. Zum anderen wurde auch keine Beschwerde eingereicht sondern eine Meldung über eine möglicherweise vorhandene Infektion oder ein Fehlverhalten.

Wie auch immer. Genial ist die weitere Beschreibung in der Mail:

+-----------------------------------------------------------------------------------------------
|date |id |virusname |ip |domain |Url|
+-----------------------------------------------------------------------------------------------
|2015-02-24 05:26:19 CET |58501917 |cleanmx_generic |87.230.26.186 |janhkrueger.de |http://janhkrueger.de/
+-----------------------------------------------------------------------------------------------

Ein Virusname "cleanmx_generic" welcher zufällig so benannt ist wie der Name des Unternehmens in dessen Namen die Mail versendet wurde? Strange. Und warum generic? Wissen die nicht genau was sie schädliches entdeckt haben? Weiterhin:

explanation of virusnames:
==========================
unknown_html_RFI_php not yet detected by scanners as RFI, but pure php code for injection
unknown_html_RFI_perl not yet detected by scanners as RFI, but pure perl code for injection
unknown_html_RFI_eval not yet detected by scanners as RFI, but suspect javascript obfuscationg evals
unknown_html_RFI not yet detected by scanners as RFI, but trapped by our honeypots as remote-code-injection
unknown_html not yet detected by scanners as RFI, but suspious, may be in rare case false positive
unknown_exe not yet detected by scanners as malware, but high risk!
all other names malwarename detected by scanners
==========================

Reines Blabla aber nichts, aber rein gar nichts worauf die Meldung tatsächlich basiert. Es war sonst nur automatisierter Standardblabla mit einer Adresse auf der mehr zu sehen sei:

Also gut, mal kontrolliert was da so angegeben ist. Ja, da steht meine Domain janhkrueger.de drin. Aber auch wieder nur "cleanmx_generic". Aber: das ganze ist nur ein Aggregator für Malwaremeldungen. Als "Spender" dieses Eintrages ist malwaredomainlist.com genannt. Also mal schauen was die so sagen.

Aha. Die haben gar keinen Eintrag über meine Domain. Fängt ja schonmal gut an. Derjenige welcher angeblich meine Seite als Malware gemeldet hat, hat gar keine Informationen dazu.

Mal weiter schauen. Ich prüfe ja auch regelmäßig die IPs welche ich, nachdem sie 5 mal versucht haben per SSH oder ähnlichem sich Zutritt zu meinem Server verschaffen, bei diversen Seiten. Also begann ich diese abzuklappern.

TCPIPUTILS.com -> sauber
Spamhaus.org -> sauber
malwaredomainlist.com -> sauber
Google Safe Browsing -> sauber

Tjo. Also keine Erkenntnis darüber warum clean-mx der Meinung sei auf meinem Server sei etwas nicht koscher. Ausser das mehrere große Seiten der Meinung sind das nichts vorliegt. Aber hey, gibt ja noch mehr Seiten zum Abfragen.

Virustotal: Auch nix. Die Meldung war jedoch schon ein paar Stunden alt. Also, kostet ja nix, mal selbst beauftragt.

Und da kamen dann ein paar mehr Informationen zu Tage. Angeblich melden 3 von 62 Scannern meine Seite als "Malicious site" oder als "Malware site". Ui. Ne, moment. Der erste Eintrag ist "CLEAN MX". Hey, die kennen wir doch schon. Also von denen kommt kein Erkenntisgewinn was da schief laufen soll. In dem Bericht werden dann noch zwei Seiten genannt: Quttera und Sucuri.

quttera.com Das sieht hier ja schonmal konkreter aus. Doch ne, bei genauerem Hinsehen ist zu sehen das die 95 gemeldeten Dateien aus einem simplen Grund als "Malicious" gekennzeichnet sind: "Detected reference to blacklisted domain". Äh ja. Die Datei, die index.html auf janhkrueger.de/blog/ , ist Malicious weil die Domain janhkrueger.de auf einer Blacklist steht. Aber sonst gibt es keinen Grund. Kein Virus, kein Trojaner, nix. Naja, könnt ja was dran sein. Quellcode kontrolliert. Nö, nix. Alles sauber. Ist nur "böse" weil jemand anderes gesagt hat die Domain janhkrueger.de sei böse.

Quttera hat jedoch noch eine Auflistung wer mich auf einer Blacklist hat. Hier wieder was tolles. Quttera meldet das Quttera mich auf einer Blacklist hat. In Excel würde das aufgrund eines Zirkelbezuges nicht funktionieren. Geile Sache. Jedoch: warum ich auf einer Blacklist bin ist auch hier nicht genannt. Allerdings soll auch Yandex mich auf einer Blacklist haben. Sind die sauer weil ich ihre Robots aussperre?

Und Sucuri. Da wird direkt mit Warnfarben, Rot und Orange heftig gepinselt. Von "Website Blacklisting" und "Site Likely Compromised" wird da geschrieben. Ich könne meine Seite säubern lassen. Kostet nur $199 im Jahr. Äh... nein. Sucuri meldet auch nur das Yandex mich auf einer Blacklist hat. Es scheint sich also zu verdichten das Yandex etwas damit zu tun hat und der Rest der Betreiber einfach nur das ganze aggregiert ohne zu überprüfen. Hauptsache es finden sich Kunden welche daraufhin Kohle für eine professionelle Sicherheitsberatung abdrücken.

Weiter mit der Prüfung bei Yandex Bei Yandex sieht das ganze erst einmal sehr spartanisch aus. "The site janhkrueger.de may be un-safe". Ja super. Und warum? Ah, ein Link für den Fall das ich der Betreiber bin. Kurz überlegt: Ja bin ich. Nur drei Vorschläge.

  • How to remove malware
  • How to protect your computer against malware
  • Yandex.Webmaster

Der Remove-Teil ist für den Popo wenn mir nichtmal genannt wird was infiziert sei und mit was. Seltsame Logik haben die Leute da. Wie ich meinen Rechner gegen Malware schütze: auch für den Popo. Nicht mein Rechner ist derzeit das Thema sondern mein angeblich infizierter Server.

Bleibt "Yandex Webmaster". Also mal dort geklickt. Und da kam die lange Nase aus dem Bildschirm. Ich komme dort auch nicht weiter da ich mich erst für Yandex Webmaster anmelden muss. grmpf

Na gut, also beiße ich in den Apfel und melde mich dort an. Nächster Punkt: sie wollen zur Verifikation eine SMS senden. such Ah, da, eine Trashnummer die ich dafür nutzen kann. Formular ausgefüllt und abgesendet. SMS kommt an, Code eingetippert und schon bin ich drin. Und tatsächlich, da findet sich etwas. Nicht nur etwas, sondern genau die relevante Information die mir hilft das ganze auch richtig zu überprüfen. Zwei Trojaner meldet Yandex auf meiner Seite. Troj/ExpJS-KD sowie Troj/JSRedir-LT. Die sagen mir jetzt erst einmal nix. Egal.

Unten links pragt mir die Meldung in die Augen das eigentlich Sophos dafür zuständig sei und Yandex nur die Dienste von Sophos Russland verwendet.

Also: clamav auf meinem Server installiert. Nö, hat überhaupt nix gefunden, auf der gesamten Platte nicht. Gut, clamav soll ja nicht so dolle bei der Erkennung sein. Schlangenöl für das Gewissen. Und im Zweifel für den Hoster damit ich sagen kann ich hätte da was geprüft.

Während der Scan lief wollte ich mehr über die beiden Trojaner erfahren. Sophos selbst ist da eher schweigsam. Keine wirklichen Informationen. Und auch sonst habe ich, zugegeben nur nach einer viertelstunde, nichts sinnvolles finden können. SecureList kennt die Definition gar nicht. Vielleicht unter einem anderem Namen. VirusList (Kaspersky) kennt die Bezeichnung ebenfalls nicht. Bitdefender: nada. Avira: kein Eintrag. Ich könnte das noch weiter führen. Irgendwann war jedoch der Scan von clamav auch durch.

Das Wichtige an der Stelle jedoch: Yandex listet mir exakt die Seite auf welche angeblich Trojaner verbreitet. Genau das was ich für eine effektive Prüfung benötigt. Das hätte ich gleich als Einstieg gebrauchen können.

Erster Gedanke: da hat es doch wieder ein Spammer geschafft in meiner Stikkedinstanz zu wüten. Kontrolliert: ne, nix. Geprüft was sich unter der Seite verbirgt. Da dämmerte es mir.

a) der Scanner von Sophos ist Mist da er nicht zwischen reinem Text und einem vom Browser ausgeführtem Code unterscheidet.
b) in der ganzen Branche gibt es jede Menge schwarze Schafe welche Meldungen nur sammeln, nicht weiter überprüfen und mir dennoch gegen Geld Besserung versprechen. Ganz klar das die da einfach so auch nicht raus rücken wollen was tatsächlich vorliegt.

Die beiden betroffenen Seiten beinhalten den Quellcode der beiden Javascripte mit denen das FBI 2013 die Nutzer einer Kinderpornoseite ausfindig machen obwohl diese Tor verwendeten. Wired hat damals entsprechend darüber berichtet.

Doch nicht die eigentliche Listung des Quellcodes wird von Sophos (in meinen Augen falsch) erkannt. Nein, der Link um den Quellcode beider Skripte auf den eigenen Rechner zu laden. Also das was sich hinter dem Downloadlink verbirgt. Als Textdatei mit der Endung .txt wohlgemerkt. Wenn ein Browser das ausführt und damit ein Sicherheitsproblem für den Benutzer darstellt oder eine sonstige Software diese Datei versucht auszuführen... dann würde ich eher den Browser oder die Software entsorgen.

Für mich ist zu diesem Zeitpunkt klar: Falschmeldung. Eine entsprechende Mail habe ich an Hosteurope gesendet. Bin mal gespannt was die dazu sagen. Aktuell sehe ich nicht das ich den Quellcode entfernen sollte. Sehe ich zumindest auch nicht ein. Wobei ich diesbezüglich derzeit auch keinen Streit anfangen werde.

Was ich interessanter finde: die beiden Quellcodeeinträge sind nun schon seit über einem Jahr von mir online gestellt worden. Und erst jetzt ist Sophos der Meinung das dies Trojaner seien. Sieht für mich eher so aus als ob sich

a) jemand nicht an die robots.txt hält und/oder
b) Änderungen am Algorithmus auf Seiten von Sophos vorgenommen wurden.

Schlimm und schockierend an der gesamten Geschichte ich jedoch was hier so alles aufgrund einer kleinen Sache ausgelöst werden kann. Sophos scannt meine Seite und stellt seine Ergebnisse seinen Kunden zur Verfügung. Ein Internetdienstleister übernimmt diese Informationen um seinen Kunden "bessere" Suchergebnisse zur Verfügung zu stellen. Andere Unternehmen, Heuschrecken würde ich sie nun einmal bezeichnen, übernehmen diese Informationen und legitimieren ihre Blacklists gegenseitig damit das sie gegenseitig mit dem Finger aufeinander zeigen und sagen der andere hat das ja auch so gelistet und in seine Blacklist eingetragen. Wieder andere Unternehmen aggregieren diese Infos um, ohne sonst etwas getan zu haben, Geld für Sicherheitsdienste zu kassieren. Und andere Heuschrecken nutzen diese nicht verifizierten Infos um daraus Warnungen an Hoster zu versenden.

Wohl gemerkt aufgrund reinen Hören-Sagens. Ohne eigene Recherche. Oder die Angaben wenigstens zu überprüfen.

"Lieber Hoster A, ich habe gehört das Dienstleister B aufgrund eines Scans des Sicherheitsunternehmens C gesagt hat die Domain D würde Malware verbreiten. Bitte prüft das mal."

Wie wäre das wohl ausgegangen wenn Hosteurope aufgrund dieser einen Mail meine Domain gestoppt oder den Server gleich neu aufgesetzt hätte?

Ich kann Fefe verstehen wenn er Antivirenprogramme als Schlangenöl bezeichnet und keine gute Meinung über diese Unternehmen hat. Schlimmer sind jedoch wie ich finde die ganzen an der Branche angeschlossenen Heuschrecken welche mit dem minimalstem Aufwand versuchen durch intransparente Angstverbreitung Geld von unwissenden Kunden abzugreifen. Bei einigen erlangte ich den Eindruck das eher ein digitaler Ablaßhandel statt findet denn wirkliche Sicherheit. Die es so gesehen nie wirklich geben kann. Doch das ist ein anderes Thema.

Mal am Rande: Sophos scheint früher schonmal mit ihren Mechanismen Probleme gehabt zu haben. 2012 meinte der Scanner sein eigener Updater sei Malware wie Fefe damals berichtete.