Hi, hab heute eine Information erhalten das sich ein Virus auf meinem Server befindet:
RS 4000 SAS G8SE a1
Auf dem Server läuft außer KeyHelp, dabei noch 2 Ark Server im Cluster und TS3 /LinuxGSM mehr eigentlich nicht.
Der Server ist durch privaten Schlüssel gesichert und weitere Sicherheitseinstellungen.
Server läuft ohne Probleme, aber man weis, das auch bei Privaten Rechnern es vorkommen kann, das bestimmte Programme oder Spiele, die ".dll", ab und an als Virus oder Mailware etz. erkannt werden.
Dieses scheint nun auch auf meinem Server so zu sein. Der Server wurde 12.12.2019 erstellt und hatte bis (gestern) keine Probleme, bis heute die Email kam mit folgendem Inhalt:
[27-Feb-2021 01:00:02] INFO --> start av scanner
[27-Feb-2021 06:24:49] INFO --> av scanner finished successfully
[27-Feb-2021 06:24:49] INFO --> av scanner report:
------------- AV SCAN --------------
Start: 2021-02-27 01:00:02
---------- SCAN LOCATIONS ----------
/home/users
/tmp
/var/tmp
/home
/opt
/usr
------ UPDATE VIRUS DATABASE -------
Start: 2021-02-27 01:00:02
End: 2021-02-27 01:00:02
Status: Success
------------ INFECTIONS ------------
/opt/steam/arkcluster1/ShooterGame/Binaries/Win64/msvcp140_2.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster1/ShooterGame/Binaries/Win64/msvcp140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster1/ShooterGame/Binaries/Win64/concrt140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster1/ShooterGame/Binaries/Win64/vccorlib140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster1/ShooterGame/Binaries/Win64/msvcp140_1.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster1/ShooterGame/Binaries/Win64/vcruntime140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/ark-staging/ShooterGame/Binaries/Win64/msvcp140_2.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/ark-staging/ShooterGame/Binaries/Win64/msvcp140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/ark-staging/ShooterGame/Binaries/Win64/concrt140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/ark-staging/ShooterGame/Binaries/Win64/vccorlib140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/ark-staging/ShooterGame/Binaries/Win64/msvcp140_1.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/ark-staging/ShooterGame/Binaries/Win64/vcruntime140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster2/ShooterGame/Binaries/Win64/msvcp140_2.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster2/ShooterGame/Binaries/Win64/msvcp140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster2/ShooterGame/Binaries/Win64/concrt140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster2/ShooterGame/Binaries/Win64/vccorlib140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster2/ShooterGame/Binaries/Win64/msvcp140_1.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster2/ShooterGame/Binaries/Win64/vcruntime140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster3/ShooterGame/Binaries/Win64/msvcp140_2.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster3/ShooterGame/Binaries/Win64/msvcp140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster3/ShooterGame/Binaries/Win64/concrt140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster3/ShooterGame/Binaries/Win64/vccorlib140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster3/ShooterGame/Binaries/Win64/msvcp140_1.dll: Win.Malware.Fileinfector-9835655-0 FOUND
/opt/steam/arkcluster3/ShooterGame/Binaries/Win64/vcruntime140.dll: Win.Malware.Fileinfector-9835655-0 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 8521265
Engine version: 0.102.4
Scanned directories: 52799
Scanned files: 573309
Infected files: 24
Data scanned: 98342.93 MB
Data read: 138624.06 MB (ratio 0.71:1)
Time: 19486.637 sec (324 m 46 s)
--------------- END ----------------
Alles anzeigen
Ich hab die Einstellung vom Antivirus nun auf "Verschieben in Quarantäne" gesetzt, und die Ark-Server erst einmal heruntergefahren. Nun stell ich mir jedoch die Frag, handelt es sich um die ":dll" tatsächlich um einen Virus / Win.Malware, da diese ja Bestandteile vom Spiel Selber sind?
Inzwischen wird der Vermutliche "Virus/Malware" in Quarantäen geschoben:
Glances : clmascan --infected --resursive --file--list /tmp/keyhelb/avscanner_scan_locations --exclude-dir /var/spool/clamav/quarantine/
wenn ich bei mir einen Virus sichte und dieser in Quarantäne gesetzt wird dann lösche ich den Inhalt des Verzeichnis. Was passiert nun aber wenn ich es nicht auf Quarantäne setze sondern auf Löschen, da ich ja weis das es sich um den Arkordner handelt, kann ich den doch auch Löschen lassen ? oder?, eine Nachinstallation ist ja möglich, und da sich seit einiger Zeit auch keiner mehr darauf befindet, ist es eh Wurscht die Savegames sind ja davon nicht betroffen.
Oder ist dann der "Vermeintliche Virus" dann immer noch da? Backdoor ? etz.
Also was soll ich nun tun?
Liebe Grüße