Viele TYPO3-Betreiber dürften dieser Tage eine alarmierende E-Mail von ihrem Hoster erhalten haben. Dort wird auf vermeintliche Viren (Txt.Malware.Agent) in der TYPO3-Installation hingewiesen.
Der Hintergrund: Betreiber von Linux-Systemen setzen als Virenscanner gerne ClamAV ein. ClamAV ist ein Open-Source-Virenscanner, der anhand von Definitionsdateien, die täglich aktualisiert werden, typische Virenmuster in Dateien erkennt und dann
Alarm schlägt.
In das am 20. November 2016 veröffentlichte Update 22574 haben sich allerdings zahlreiche Definitionen geschlichen, die bei dem weit verbreiteten Datenbank-Tool phpMyAdmin zu Fehlalarmen (so genannnten „false positives“) führen.
Darauf hingewiesen hat die Google+ Gruppe +phpmyadmin.
Und: diese Fehlalarme werden auch dann ausgelöst, wenn phpMyAdmin als TYPO3-Extension installiert wurde.
Wenn ihr also entsprechende Meldungen mit Verweis auf ein Verzeichnis innerhalb der Extension phpMyAdmin erhalten habt, dürft ihr davon ausgehen, dass es sich um einen solchen Fehlalarm handelt.
Beispiele für Txt.Malware.Agent-Meldungen
Hier konkret einige Beispiele, wie sie z.B. von einem Server bei Mittwald beanstandet wurden:
Txt.Malware.Agent-1835890
Txt.Malware.Agent-1835891
Txt.Malware.Agent-1835892
usw.
Wir raten allerdings generell dazu, die Extension phpmyadmin (ebenso wie das Stand-alone-Programm phpMyAdmin) nicht einzusetzen, da es ein unnötiges Einfallstor für potenzielle Angreifer darstellt.
Wer dennoch über eine komfortable Oberfläche auf die Datenbank zugreifen möchte, sollte dies über ein lokales Tool wie HeidiSQL tun. Das kann dann über einen SSH-Tunnel eine gesicherte Verbindung zum Server aufbauen.
Danke für die zeitnahe Info!