Plugin Datei als Schadsoftware gemeldet? False Positive durch Imunify-Virenscanner

Geändert am Mi, 8 Jul um 1:44 NACHMITTAGS

Bei einigen Hosting-Providern kann es vorkommen, dass Dateien unserer Plugins durch einen Virenscanner fälschlicherweise als verdächtig erkannt werden. Der PHP-Code unserer Plugins ist absichtlich obfuskiert (verschleiert), um den Quellcode zu schützen. Genau das führt bei manchen Scannern zu einer Fehleinordnung.


I.d.R. handelt es sich hier um ein False Positive, also eine irrtümliche Einordnung als Befall. Die Datei ist regulärer Bestandteil des Plugins und enthält keine Schadsoftware.


Je nach Konfiguration des Scanners fällt die Reaktion unterschiedlich aus. In manchen Fällen wird die betroffene Datei lediglich gemeldet bzw. beanstandet, ohne dass sie verändert wird. In anderen Fällen wird sie automatisch blockiert, geleert oder entfernt.


Wird die Datei blockiert, geleert oder entfernt, funktioniert das betroffene Plugin nicht mehr korrekt, je nach Fall bis hin zu einem 500er-Serverfehler. Bei einer reinen Meldung bleibt das Plugin dagegen funktionsfähig.


Es handelt sich um ein aktuell bekanntes, herstellerübergreifendes Problem im JTL-Umfeld. Auslöser ist die Sicherheitslösung Imunify, die obfuskierte PHP-Dateien von Plugins verschiedener Anbieter fälschlich als problematisch einstuft. Betroffen sind Shops bei allen Hostern, die Imunify einsetzen, zuletzt u. a. mehrere Shops mit Hosting bei ecomDATA. Die betroffenen Kunden werden dabei in der Regel nicht automatisch informiert.


Wird die Datei blockiert, geleert oder entfernt, kann das Plugin nicht mehr ordnungsgemäß ausgeführt werden. Typische Folgen sind:


  • Fehlfunktionen des Plugins
  • Abbrüche bei der Ausführung
  • Fehlermeldungen im Shop oder Backend
  • 500er-Serverfehler (Shop ggf. nicht mehr erreichbar)


Wichtig: Bitte lösche keine Plugin-Dateien und deinstalliere das Plugin nicht eigenmächtig, bevor die Ursache geklärt ist. Deine Daten und Einstellungen bleiben erhalten, solange nichts gelöscht wird.


So löst du das Problem:


  1. Prüfen, ob die betroffene Datei im Pluginmanager als modifiziert angezeigt wird bzw. ob sie leer ist oder fehlt.
  2. Den Hosting-Anbieter kontaktieren und auf das bekannte False-Positive-Problem mit dem Virenscanner Imunify hinweisen. In den Server-Logdateien (error.log) finden sich in der Regel passende Einträge zu den gemeldeten oder blockierten Dateien.
  3. Den Hoster bitten, die betroffene Datei bzw. den kompletten Plugin-Ordner (z. B. [ShopRoot]/plugins/<plugin_ordner>/) auf die Ignorierliste (Whitelist) von Imunify zu setzen, damit die Dateien künftig nicht erneut geprüft, gemeldet oder blockiert werden.
  4. Falls die Datei geleert oder entfernt wurde, das Plugin anschließend über "Meine Käufe" erneut installieren bzw. die fehlende Datei wiederherstellen.
  5. Nach der Wiederherstellung ggf. Shop-Cache und Template-Cache leeren.


Manche Hoster (z. B. ecomDATA) kennen das Problem bereits und stehen mit Imunify in Kontakt. Ein Hinweis auf Imunify beschleunigt die Bearbeitung erfahrungsgemäß deutlich.


Falls dein IT-Team oder Hoster weitere Informationen hat, z. B. welche Software für den Scan genutzt wurde und welche Datei konkret gemeldet wurde, leite sie uns gerne weiter. Dann können wir gezielter unterstützen.


Weiterführende Informationen: Auch andere JTL-Plugin-Hersteller berichten über dieses Problem. Eine gute externe Beschreibung inkl. Screenshot der Imunify-Ignorierliste findest du im Blog von Kreativkonzentrat: Aktuelle Probleme mit Dropper & Imunify.


Tags: