KeyHelp mit Antivirus-Scanner<< Fund

  • Hi, hab heute eine Information erhalten das sich ein Virus auf meinem Server befindet:

    RS 4000 SAS G8SE a1


    Auf dem Server läuft außer KeyHelp, dabei noch 2 Ark Server im Cluster und TS3 /LinuxGSM mehr eigentlich nicht.

    Der Server ist durch privaten Schlüssel gesichert und weitere Sicherheitseinstellungen.

    Server läuft ohne Probleme, aber man weis, das auch bei Privaten Rechnern es vorkommen kann, das bestimmte Programme oder Spiele, die ".dll", ab und an als Virus oder Mailware etz. erkannt werden.

    Dieses scheint nun auch auf meinem Server so zu sein. Der Server wurde 12.12.2019 erstellt und hatte bis (gestern) keine Probleme, bis heute die Email kam mit folgendem Inhalt:

    Ich hab die Einstellung vom Antivirus nun auf "Verschieben in Quarantäne" gesetzt, und die Ark-Server erst einmal heruntergefahren. Nun stell ich mir jedoch die Frag, handelt es sich um die ":dll" tatsächlich um einen Virus / Win.Malware, da diese ja Bestandteile vom Spiel Selber sind?

    Inzwischen wird der Vermutliche "Virus/Malware" in Quarantäen geschoben:

    Glances : clmascan --infected --resursive --file--list /tmp/keyhelb/avscanner_scan_locations --exclude-dir /var/spool/clamav/quarantine/


    wenn ich bei mir einen Virus sichte und dieser in Quarantäne gesetzt wird dann lösche ich den Inhalt des Verzeichnis. Was passiert nun aber wenn ich es nicht auf Quarantäne setze sondern auf Löschen, da ich ja weis das es sich um den Arkordner handelt, kann ich den doch auch Löschen lassen ? oder?, eine Nachinstallation ist ja möglich, und da sich seit einiger Zeit auch keiner mehr darauf befindet, ist es eh Wurscht die Savegames sind ja davon nicht betroffen.


    Oder ist dann der "Vermeintliche Virus" dann immer noch da? Backdoor ? etz.


    Also was soll ich nun tun?

    Liebe Grüße

  • Danke für die schnelle Antwort, im Grunde geht es ja nur um:

    1. /opt/steam/arkcluster1/ShooterGame/Binaries/Win64/msvcp140_2.dll: Win.Malware.Fileinfector-9835655-0 FOUND
    2. /opt/steam/arkcluster1/ShooterGame/Binaries/Win64/msvcp140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
    3. /opt/steam/arkcluster1/ShooterGame/Binaries/Win64/concrt140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
    4. /opt/steam/arkcluster1/ShooterGame/Binaries/Win64/vccorlib140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
    5. /opt/steam/arkcluster1/ShooterGame/Binaries/Win64/msvcp140_1.dll: Win.Malware.Fileinfector-9835655-0 FOUND
    6. /opt/steam/arkcluster1/ShooterGame/Binaries/Win64/vcruntime140.dll: Win.Malware.Fileinfector-9835655-0 FOUND

    die 6, da es sich um 3 Server handelt, und die Staging (Backup bzw. Vorab laden).

    Hash der eventuell infizierten Dateien mit den gleichen Dateien aus einer "frischen" Installation (anderes System) vergleichen.

    Das wird schwer, da müsste ich im Grunde nen Server mieten und ausprobieren, keine Option.

    Entsprechende Dateien z. B. bei Virus Tota

    Das hab ich mit meinen Daten auf dem Rechner gemacht und er fand nix, Daten sind ja im Binäris Ordner Win64 Identisch. "No engines detected this file"

  • Das wird schwer, da müsste ich im Grunde nen Server mieten und ausprobieren, keine Option.

    Kannst du das nicht relativ einfach in einer virtuellen Maschine (VM) bei dir auf dem Rechner ausprobieren?

    Zitat


    Das hab ich mit meinen Daten auf dem Rechner gemacht und er fand nix, Daten sind ja im Binäris Ordner Win64 Identisch. "No engines detected this file"

    Das sind dann aber ja nicht die Daten vom Server, korrekt?

  • haha, würd ich gern, aber Ark benötigt sage und schreibe 485GB auf dem Rechner, und das Update was er machen will braucht nochmal 11GB, also muss er 496GB Reservieren und ich hab noch 380 Frei, ne da geht nix mehr.

    Ich mach das anders, ich hab die Arkserver erst einmal gestoppt, werde diese dann unter der Woche löschen und dann noch mal mit einer Neu Installation drüber schieben.

    Unter anderem werde ich dann Wildcard Bericht erstatten, das bestimmt .dll `s als Viren Abgestempelt werden, damit sie reagieren können, ich werde mich dann noch ein mal hier melden, aber dennoch Danke für die Hilfe

  • Das wird schwer, da müsste ich im Grunde nen Server mieten und ausprobieren, keine Option.

    VPS mit stundenbasierter Abrechnung?


    Wenn Du schnell genug bist mit dem Testen und Kündigen, wird gar keine hohe Rechnung im CCP erstellt. ;)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hallo,


    was sich sehr trivial prüfen läßt, ob die 3 Cluster und der Staging hier die identen Files hat ...,

    diff /opt/steam/ark-staging/ShooterGame/Binaries/Win64/msvcp140.dll /opt/steam/arkcluster2/ShooterGame/Binaries/Win64/msvcp140.dll

    wenn dem so ist; halte ich es f. sehr wahrscheinlich dass es sich um ein False-Positive handelt;

    bei ClamAV melden, bei einer der nächsten Signaturupdates ist der Spuk vorbei

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • bei ClamAV melden, bei einer der nächsten Signaturupdates ist der Spuk vorbei

    Alles klar, werd ich machen, Wildcard hat auch Bestätigt das es sich um keine Viren handelt.

    Zitat
    14 hours ago, Samsonett said: Reveal hidden contents
    Don't worry about it. First, you are on Linux so they will never even be loaded. Second, they are not viruses, but potentially are. Basically, your anti-virus sees them as potential threats because they could well be proxy libraries used to impersonate and inject themselves into a process.

    Danke

  • Danke für die Info von ClamAv, hier der Bericht von ClamAV:

    ....................,

    Thank you again for your submission.

    Your File:

    win64 (SHA256: 2acc35a447c99c0cdb480c17c8d08debea03e73ac5194e48cc33446972a64170)



    Our initial assessment shows that this file is possibly clean. If you provided a description that suggests otherwise, we will further examine the sample & proceed from there.

    -The ClamAV team


    Also muss ich den Virenscanner auf Neutral stellen bzw. den Ordner den er Überprüft rausnehmen, oder kann ich das auch anders lösen, denn es handelt sich im Grunde ja nur um den Spiele Ordner.

  • Also muss ich den Virenscanner auf Neutral stellen bzw. den Ordner den er Überprüft rausnehmen, oder kann ich das auch anders lösen, denn es handelt sich im Grunde ja nur um den Spiele Ordner.

    Im Endeffekt kann sowieso niemand zu 100% sagen, ob irgendeine Datei "verseucht" ist, außer du selber. Ich halte nicht viel von Virenscannern auf Serversystemen (es sei denn vielleicht für ein-/ausgehende E-Mails, oder wenn man Filesharing-Dienste betreibt etc.). Im Endeffekt ist das ein Glücksspiel, ob etwas als Schadcode erkannt wird, oder nicht. Wäre es anders, gäbe es ja kaum noch Viren etc.


    Lösch einfach das gesamte Verzeichnis bis auf deine Configs etc., lass steamcmd (oder was auch immer) die Spiel-Dateien neu herunterladen und füg das Verzeichnis als Ausnahme zum Virenscanner hinzu.


    (Selbst wenn die Dateien verseucht sein sollten: du bist unter Linux, die DLLs werden doch niemals genutzt, oder läuft das irgendwie über wine etc.?)

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com