Page tree

Inhalte

(bitte Pfeil klicken)

Die Software

In der Infrastruktur die wir für unsere direkten Endkunden betreiben setzen wir, im Rahmen unserer proaktiven Malware-Systemprüfungen, seit kurzem den sehr umfangreichen und zuverlässigen Malware-Scanner des dt. Herstellers ISP-Protect ein und stehen mit diesem in regelm. Kontakt.

Als Erweiterung setzen wir eine von uns entwickelte "Wrapper" Software ein, welche die Systemprüfungen steuert und die Funde nach eigenen Kriterien weiter verarbeitet.

Wann und Wie

Unsere regelm. Systemprüfungen werden einmal täglich durchgeführt und umfassen jeweils alle Daten eines Systems. In Einzelfällen oder bei akuten Bedrohungen können diese Prüfungen auch mehfach durchgeführt werden oder auch auf einzelne Bereiche beschränkt werden.

Was passiert bei einem Fund

Die durch die Scansoftware erkannten Bedrohungen werden durch unsere eigene Programmierung zusätzlich gefiltert und nach Möglichkeit auf Plausibilität und gegen eigene vom Scanner unabhängige Whitelisten und Regeln geprüft. Besteht auch nach der erweiterten Prüfung weiterhin der Befund einer Bedrohung wird die Datei per E-Mail an den für uns zuständigen direkten Endkunden oder Reseller gemeldet. Um einer möglichen Bedrohung möglichst effektiv zu begegnen wird die betroffene Datei gegen weitere Ausführungen gesperrt.

Bis hierher entstehen keinerlei Kosten und wir führen, ohne explizite Beauftragung durch den Kunden, keine weitere Analysen durch.

Was muss ich im Fall eines Fundes machen

Ihr erster Schritt sollte eine weiterführende Sichtprüfung Ihrer Webseite / des CMS Systems sein. I.d.R. kennen Sie / Ihr Webmaster Ihre Webseite sowie deren Inhalte am besten und können bewerten ob sich ggf. noch weitere und nicht erkannte Schadcode- oder Fremddateien auf Ihrer Präsenz vorhanden sind.

Sollte sich herausstellen, dass die Prüfung fehlerhaft war und es sich nicht um eine Schadcodedatei handelt handelt es sich um einen False / Positive (siehe unten) und es ist ratsam und sinnvoll uns dies mitzuteilen.

Ist es jedoch so, dass es sich tatsächlich um durch Dritte eingebrachten Schadcode handelt sollten im ersten Schritt die gefundenen Dateien entfernt werden. Die weiteren Schritte ergeben sich individuell aus der eingesetzten Anwendung, dem Umfang der Kompromittierung und anderen Parametern.

Natürlich stehen wir Ihnen gerne, im Rahmen unseres kostenpflichtigen Supports, mit weiterführenden Analysen und Informationen bei einer Hackanalyse (HA) zur Verfügung - sprechen Sie uns einfach an.

Was passiert bei einem sog. False / Positive (FP)

Keine Prüfung ist frei von Fehlern und so kommt es, vor allem in dem Bereich der Schadcodeerkennung, nicht selten zu fehlerhaften Einschätzungen. Sei es nun durch vorsätzlich verschlüsselte / obfuskierte Quellcodeteile um ein Copyright einzubetten oder ähnliches.

Sollte das System fälschlicher Weise eine Datei als Bedrohung erkannt und gesperrt haben kann der betroffene Kunde, der per Mail über diesen Umstand informiert wurde, sich jeder Zeit an uns wenden. Wir prüfen dann diesen speziellen Fall manuell und werden die Datei im Fehlerfall wieder freigeben und diese Datei künftig als "OK" erkennen.

  • No labels

This page has no comments.