Malwarescanner von Fremdservern schicken Abuse an Hoster

[GwenDragon]

Ist es üblich, dass irgendwelche Serverbetreiber komplette Webseiten abgrasen, deren Inhalte scannen und dann Domains als malwareverseucht sperren lassen?
Da gibt es ein paar, deren "Virenscanner" vermuten auf Grund schlechter Heuristik hinter jedem HTML, JS oder einer binären Datei eine Verseuchung.

Einen den ich ganz besonders seltsamer ist cl...mx. Da werden so unsinnige Sache gefunden wie unknown html, unknown html RFI Perl. Anscheinend glaubt der "Scanner" bei bestimmtem JS oder Beispielcode von Perl im HTML, dass die Webseite verseucht ist.

Welche Erfahrung habt ihr mit solchen Viren/Malwarescanner/Webdiensten, die dann per Fehalarme als Bedrohungen publik machen. Hatte ihr auch schon Abusemeldungen deswegen?

 

[Deleted member 11691]

Noch nie solche "Abuse"-Meldungen gefunden... Falls doch, geht ein Abuse zurück an den Absender, da "Der Crawler die Website down gemacht hat"

 

[GwenDragon]

Wieso hat ein deutscher Anbieter eines Antispamsystems es eigentlich notwendig, fremde Domains und deren gehostete Inhalte zu scannen und dann die gefundenen False Positives als Abuse an Serverhoster zu mailen, zwecks Sperrandrohung?
Wo sind wir eigentlich?

 

[d4f]

Ist es üblich, dass irgendwelche Serverbetreiber komplette Webseiten abgrasen, deren Inhalte scannen und dann Domains als malwareverseucht sperren lassen?

Es ist nicht verboten und wird von Clean-MX sowie Konsorten massenweise getan. Üblicherweise aber für den Webhoster praktisch da kostenfreies externes Monitoring gegen Maleware-Befall =)

a werden so unsinnige Sache gefunden wie unknown html, unknown html RFI Perl. Anscheinend glaubt der "Scanner" bei bestimmtem JS oder Beispielcode von Perl im HTML, dass die Webseite verseucht ist.

Hmm, bislang hatte ich das nur sehr selten gesehen. Die "unknown" stammen afaik aus behavior analysis Tools welche rote Flaggen gezeigt haben.
Ich lasse generell beim Erhalt von solchen Meldungen CXS mal über den betroffenen Webspace laufen und in aller Regel findet der dann auch was.

die dann per Fehalarme als Bedrohungen publik machen.

Ne Abuse Meldung nenne ich nicht grade publik. Schlimmer sind die begabten Programmierer von Sophos welche der Meinung sind dass bei Malware-Befall eines Kunden auf einem shared-Hosting Server alles infiziert sei.

Hatte ihr auch schon Abusemeldungen deswegen?

Laut kurzer Suche im Postfach, 75 Stück =)

Wieso hat ein deutscher Anbieter eines Antispamsystems es eigentlich notwendig, fremde Domains und deren gehostete Inhalte zu scannen und dann die gefundenen False Positives als Abuse an Serverhoster zu mailen, zwecks Sperrandrohung?

Reuduzierung des Spam im Internet.

 

[Lord Gurke]

Von Clean-MX haben wir (als Hoster) schon länger keine Meldungen mehr bekommen, aber wenn welche kamen waren diese auch gerechtfertigt.
Es gibt durchaus Malware die Webseiten befällt und dem Webmaster dies verbergen - z.B. per Cookie.
Gehe mal in einem Privaten Tab auf die in der Mail genannte Seite, vielleicht kannst du dann etwas erkennen.

False Positives haben wir wie gesagt noch nie von denen gehabt.

 

[GwenDragon]

Ich fand keine Malware, der Hoster fand auch nichts.
Link zur angeblich bösen Exe-Datei längst entfernt.
Aber dafür ist der Link immer noch bei clean mx als Trojaner aktiv, malwaregelistet.

Eindeutiges Scanergebnis clean mx? Nein.


/EDIT: aber wenigstens hat er das close dieses Scanfalls angenommen