{"id":172094,"date":"2015-12-27T08:35:23","date_gmt":"2015-12-27T07:35:23","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=172094"},"modified":"2021-02-03T09:54:15","modified_gmt":"2021-02-03T08:54:15","slug":"virus-auf-borncity-com-vermutet-wohl-false-positive","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/12\/27\/virus-auf-borncity-com-vermutet-wohl-false-positive\/","title":{"rendered":"Virus auf borncity.com vermutet &ndash; wohl false positive"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Noch eine kurze Info in eigener Sache. Kurz vor Weihnachten und diese Nacht erreichten mich Lesermails, dass auf dem Blog ein Virus gefunden wurde.<\/p>\n<p><!--more--><\/p>\n<p>Da es m\u00f6glicherweise mehr Leser gibt, die entsprechende Meldungen auf ihren Windows Clients beim Surfen auf meinem Blog erhalten, dokumentiere ich das Ganze mal. Der Text ist meist \u00e4hnlich \u2013 hier der Inhalt der Mail, die mir heute zugegangen ist. <\/p>\n<blockquote>\n<p>beim Aufruf Ihrer Webseite &#8211; welche ich h\u00e4ufiger Besuche &#8211; zeigt mir GData heute diese Virusmeldung: <br \/>&gt; &gt; &gt; <br \/>Virenpr\u00fcfung von Web-Inhalten <br \/>Adresse:&nbsp;&nbsp;&nbsp;&nbsp; <br \/>Status:&nbsp;&nbsp;&nbsp;&nbsp; Der Zugriff wurde verweigert. <\/p>\n<\/blockquote>\n<p>Welcher Virusscanner vom zweiten Leser verwendet wird, entzieht sich meiner Kenntnis. Der Alarm bezieht sich auf eine JavaScript-Routine eines Plugins f\u00fcr Google Analytics.  <\/p>\n<h3>Interne Virenscanner melden nichts \u2026<\/h3>\n<\/p>\n<p>Allerdings ist es nicht so, dass ich hier blau\u00e4ugig meinen Blog so ganz ohne Schutz laufen lasse. Intern l\u00e4uft ein Virenscanner-Plugin, welches die Templates \u00fcberpr\u00fcft. Zudem kann ich weitere Plugins bei Verdacht ausf\u00fchren lassen, die alle Dateien im Blog scannen. Ein Scan mit dem Wordfence Security Plugin ergab keinen Befall. <\/p>\n<h3>Externe Virenscanner melden nichts \u2026<\/h3>\n<p>Zus\u00e4tzlich habe ich die komplette Domain durch <a href=\"https:\/\/sitecheck.sucuri.net\/results\/borncity.com\/blog\/\" target=\"_blank\" rel=\"noopener\">sitecheck.sucuri.net<\/a> \u00fcberpr\u00fcfen lassen. Auch hier keine Ergebnisse \u2013 die Webseiten sind auch nicht in Blacklisten diverser Anbieter wie Google etc. aufgef\u00fchrt. <\/p>\n<p>Eine Suche im Web nach der Datei <em>external-tracking.min.js?ver=6.4.9<\/em> ergab einige Treffer die auf normale Blogs verwiesen, die aber wohl auch nicht kompromittiert sind. Bei virustotal.com habe ich dann <a href=\"https:\/\/www.virustotal.com\/en\/url\/abea6c2742195dafc5f70cd0c755dac8874672218f063d9e0200d9cc524f9cc1\/analysis\/\" target=\"_blank\" rel=\"noopener\">diesen Treffer<\/a> f\u00fcr die Datei f\u00fcr eine andere Webseite gefunden. Nur Sophos weist die betreffende Datei samt Website als \"Malicius site\" aus. Ein erneuter Scan auf die in meinem Blog betroffene Datei ergibt <a href=\"https:\/\/www.virustotal.com\/en\/url\/3759449a71ada2e6da1daacd60247f5c0a66e2c110e9a9f120df4342e160453b\/analysis\/1451201172\/\" target=\"_blank\" rel=\"noopener\">dieses Ergebnis<\/a>.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/tyhTKxy.jpg\"\/><\/p>\n<p>Alle von virustotal verwendeten Scanner melden die Datei bzw. die Site als \"Clean\" \u2013 auch eine von mir kurz durchgef\u00fchrte Code-Inspektion ergab auf den ersten Blick nichts verd\u00e4chtiges. <\/p>\n<p>Von daher: Mein Dank an die aufmerksamen Blog-Leser, die mich \u00fcber die betreffende \"Infektionsmeldung\" in Kenntnis setzten. Nach meinen bisherigen Kenntnissen ist es aber wohl ein \"false positive\" diverser lokaler Windows Virenscanner, die einen Fehlalarm ausl\u00f6sen. Ich habe jetzt aber mal ein anderes Plugin im Blog aufgenommen, um die Analytics-Funktionen einzubinden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine kurze Info in eigener Sache. Kurz vor Weihnachten und diese Nacht erreichten mich Lesermails, dass auf dem Blog ein Virus gefunden wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161],"tags":[4313],"class_list":["post-172094","post","type-post","status-publish","format-standard","hentry","category-virenschutz","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/172094","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=172094"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/172094\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=172094"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=172094"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=172094"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}