Wir haben einen Webserver mit mehreren Websites.

In letzter Zeit melden sich häufiger Kunden, bei denen der Virenscanner beim Besuch der Seiten einen JS.Iframe CWH findet.

Allerdings können wir auf den Websites nichts finden. Ich habe mir die Quelltexte der Seiten angeschaut, kein auffäliger Code, keine komischen Dateien im Header... Virustotal findet bei den gescannten Seiten ebenfalls nichts. Es gibt auch keine auffälligen Dateien auf dem Server oder ähnliches.

Bei uns taucht die Meldung auch nicht auf, weder mit MS SE oder Avira bei mir zuhause. Die meisten User die sich melden verwenden G Data.

Weiß jemand von euch, ob es da in letzter Zeit Probleme mit Fehlalarm gibt? Wir bekommen auch Anrufe von Kunden, die ihre Seiten nicht bei uns gehostet haben sondern ein eigenes Webpaket nutzen. Mir scheint dass der Scanner evtl schon bei einem Iframe anschlägt, auf einer Seite ist zB ein Video von Vimeo verknüpft. Eventuell ist das schon zu viel des guten?

Merci!

Ihr seid ein Hoster und fragt hier nach?
Oder bist du 'nur' ein Reseller über den auch Websitehosting läuft?

Es gibt immer und ständig Fehlalarme, es ist immer möglich, dass ein AV-Programm etwas streng ist.
Es reicht z.B. auch der Teilauszug einer Hostdatei rein in der Form
127.0.0.1 domainname
mit ein paar(!) Zeilen untereinander auch OHNE den typischen Header einer Hosts-Datei aber mit ein paar gutartigen(!) Domain-Namen, als Textdatei beliebigen Namens oder auf einer Webseite (z.B. zur Diskussion über diese Hosts-Einträge) und mindestens ein AV-Scanner schlägt lokal bzw. "im Web" Alarm.
Soll heißen, auch harmlose Sachen können in Kombination als Malware erkannt werden, aber für deinen Fall kann keiner was sagen, ohne konkrete Information.
Aber gerade mit Einbindung fremden Inhalts kann es durchaus sein, dass man auch unbemerkt fremden, bösartigen Inhalt einbindet.
Wenn fremder Inhalt eingebunden wird, dann haftest du nicht nur i.d.R. dafür, dann musst du auch diesen Code des Zieles (bzw. der Content-Quelle) mit betrachten, deren Scripte, Flashs, Codes etc.
Und u.U. ist auch nur die Art der Einbindung "suspekt".

Nein ich bin kein Hoster!

Nach einigem Suchen habe ich nun doch einen Base64 eval PHP Script-Hack gefunden .

Die Dateien wurden allerdings schon vor einigen Wochen infiziert. Dass der Hoster da nix merkt, ist natürlich schon seltsam!

Warum sollte ein Hoster dies merken?
Nicht der Hoster ist für den Inhalt verantwortlich.
Soll ein Hoster etwa alle Bereiche (! auch sensible und gesperrte etc.?) etwa scannen? Solange der Inhalt auf einem Webserver nicht den Betrieb gefährdet oder strafrechtlich relevant ist, solange geht es den Hoster nichts an. Bei teureren (!) Verträgen kannst du aber sicherlich eine AV-Software auch auf dem Server ordern.

Der Hoster meldet sich normalerweise sehr schnell bei solchen Vorgängen, nur diesmal nicht.

Du hast natürlich Recht, dass er nicht dafür verantwortlich ist. Verantwortlich ist einzig und allein der Kunde.

Zitat:

Zitat von Antestor

Der Hoster meldet sich normalerweise sehr schnell bei solchen Vorgängen, nur diesmal nicht.

Wenn falscher Code auf die Webseiten kommen?
Habe ich noch nie gehört. Nur wenn dieser Code den Betrieb (den Serverbetrieb) merkbar stört oder per Brute-Force-Angriff auf den Webspace (bzw. den FTP-Account) gekommen ist (oder man eben kostenpflichtig einen AV-Scanner im Vertrag hat, aber dann meldet eigentlich der AV-Scanner). Dies ist hier aber wohl nicht der Fall:

Zitat:

Dieser Virus/Trojaner läuft auf Deinem lokalen Rechner oder auf dem Deiner Kollegen. Der eigentliche Code auf dem lokalen System schnappt sich FTP-Zugangsdaten, die er finden kann und loggt sich damit auf die FTP-Server ein. Dort werden die PHP-Files modifiziert
...
Mit anderen Worten: Wer auf seinem Server modifizierte PHP-Files entdeckt, sollte definitiv erst einmal auf der eigenen Maschine suchen

(Quelle: (über Ecken: Mirko Weiße – Facebook)

Der Hoster hat zB mal ein Webpaket abgeschaltet, auf dem eine Phishing-Attacke lief.

Zitat:

Dieser Virus/Trojaner läuft auf Deinem lokalen Rechner oder auf dem Deiner Kollegen. Der eigentliche Code auf dem lokalen System schnappt sich FTP-Zugangsdaten, die er finden kann und loggt sich damit auf die FTP-Server ein. Dort werden die PHP-Files modifiziert
...
Mit anderen Worten: Wer auf seinem Server modifizierte PHP-Files entdeckt, sollte definitiv erst einmal auf der eigenen Maschine suchen

Hatte ich auch schon gefunden. Allerdings wurde lokal hier nichts gefunden. Komisch ist auch, dass kaum eine Virensoftware beim Besuch einer infizierten Seite eine Warnung ausgibt! Und das obwohl der Code schon seit Dezember 2011 bekannt ist!

Es sind komischerweise auch nicht alle Webs befallen. Hauptsächlich die Webs eines bestimmten Hosters...

Zitat:

Zitat von Antestor

Der Hoster hat zB mal ein Webpaket abgeschaltet, auf dem eine Phishing-Attacke lief.

Es gibt durchaus Nutzer die einem Hoster melden, wenn sie vermeintliche oder echte Attacke auf/von einem Webspace oder Mailserver bekommen.
Auch sind schon einzelne Server (IP-Adresse - dies kann durchaus Hunderte von Domains dann betreffen) eines Hoster oder sogar komplette Hoster (IP-Adressbereiche) aus solchen Gründen in Filtern gelandet. Wenn sich dann Kunden anfangen zu beschweren, dann werden die meisten Hoster doch agil.

Zitat:

Zitat von Antestor

Allerdings wurde lokal hier nichts gefunden.

Dann solltest du mal überlegen wer noch per FTP Zugang hat oder mal hatte (und vielleicht doch noch hat).
Ich habe aber auch schon Fälle gehabt (und dadurch neue Kunden bekommen), dass (bei anderen bösen Web-Scripts) unbekannte Personen wohl zu simple FTP-Zugangskennung geknackt haben und dann (vermutlich) darüber Code auf den Webspace gekommen ist.
Aber auch im Verlauf von Jahren und diversen Webadmins/-entwicklern niemals geänderte Passwörter habe ich schon gesehen.

Zitat:

Zitat von Antestor

Komisch ist auch, dass kaum eine Virensoftware beim Besuch einer infizierten Seite eine Warnung ausgibt!

Viele AV-Programme und vor allem Free-AV-Programme machen keinen Vorabscan im Web. Und vorallem ein PHP-Script läuft auf dem Server (kann selber also von Web-Clients/Besuchern nicht "gesehen" werden) und wenn die Ausführung des serverseitigen Scripts von Bedingungen auf dem Client abhängig sein sollte (aktiviertes JavaScript, bestimmte Browser-Versionen o.ä.) dann kann ein Client-AV-Programm manchmal auch nichts feststellen.

Zitat:

Zitat von Antestor

Hauptsächlich die Webs eines bestimmten Hosters...

Ohne explizite Informationen kann ich dazu natürlich rein gar nichts sagen.