BitFire Malware-Scanner

Version 3.5.1+

BitFire Malware-Scanner Guide

Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.

BitFire Malware-Scanner

Der BitFire-Malware-Scanner verfügt über detaillierte Signaturdaten für über 10.000.000 WordPress-Core-, Theme- und Plugin-Dateien in der BitFire-Remote-API. Durch die Nutzung dieser detaillierten technischen Daten über WordPress-PHP- und JavaScript-Dateien ist BitFire in der Lage, bei den meisten Hosting-Anbietern mit einer Rate von über 10.000 Dateien pro Minute nach Malware zu suchen.

Der Malware-Scanner sucht zunächst nach allen Dateien, für die ihm Signaturdaten vorliegen. Die lokale Dateisignatur wird dann mit den bekannten Signaturen verglichen und alle Übereinstimmungen werden überprüft. Die verbleibenden Dateien werden dann auf Unterschiede zur Originaldatei reduziert, und unbekannte Dateien werden als völlig einzigartig behandelt. Diese Unterschiede werden weiter auf solche reduziert, die die Möglichkeit bieten, Remote-Code auszuführen oder neue Dateien hochzuladen.

Sobald wir die endgültige Liste des unbekannten Codes haben, der potenziell schädliche Funktionen ausführen kann, untersuchen wir den Code weiter, indem wir die Leerzeichen im Programmierstil, die verwendeten Funktionen, die Analyse der Zeichenhäufigkeit und andere Metriken untersuchen, um festzustellen, ob der Code Malware oder gutartiger WordPress-Code ist. Im Durchschnitt identifiziert BitFire eine falsch-positive Malware-Datei mit einer Rate von etwa 1 zu 2.500.

Da die meisten WordPress-Installationen etwa 10.000 Dateien haben, können Sie im Durchschnitt davon ausgehen, dass BitFire etwa 4 Malware-Dateien auf Ihrer Installation identifiziert, die eigentlich harmlos sind, und dafür etwa 60 Sekunden benötigt. Nach dem ersten Scan sollten zusätzliche BitFire Malware-Scans sogar noch schneller ablaufen.

BitFire Malware-Scanner Screenshot
The BitFire Malware-Scanner

Erkennen von Malware in Software

Es lohnt sich, jede identifizierte Malware-Datei zu untersuchen und manuell zu entscheiden, ob sie sauber ist oder nicht. Klicken Sie dazu auf das Symbol "diff" Schaltfläche neben der Datei. Alle Dateidifferenzen werden angezeigt, und identifizierte potenziell bösartige Programmzeilen werden mit einem roten Virensymbol hervorgehoben.

Malware sieht in der Regel ganz anders aus als der übrige Code. Sie hat sehr lange Zeilen mit vielen Programmanweisungen, die in jede Zeile gepackt sind. Sie ist in der Regel schwer zu lesen, da ihre Absicht unklar und verschleiert ist. Malware hat in der Regel keine oder nur sehr wenige Kommentare und ist schlecht formatiert.

Ein guter Programmcode kann für einen Nicht-Programmierer schwer zu verstehen sein, sollte aber für den Menschen lesbare Funktionsnamen, Variablennamen und Kommentare enthalten. Sie sollten in der Lage sein, eine grundlegende Vorstellung von der allgemeinen Funktion des Codes zu bekommen, auch ohne Programmierkenntnisse.

BitFire Malware-Scanner Screenshot
Beispiel einer Malware

Handling Malware Files

BitFire kennzeichnet potenzielle Malware in jeder PHP- oder JavaScript-Datei mit einem Virensymbol. Um die Details zu sehen, warum die Datei markiert wurde, klicken Sie auf das Symbol "Diff" Wenn Sie Malware auf Ihrem System finden und die PRO-Version von BitFire erworben haben, können Sie BitFire's "Reparatur", um die Originaldatei aus dem offiziellen WordPress-Repository herunterzuladen. Wenn sich die Datei nicht im offiziellen WordPress-Repository befindet, sollten Sie das infizierte Plugin oder Theme entfernen und das Theme oder Plugin von der Quelle neu installieren.

Wenn die Datei nicht im offiziellen WordPress-Repository vorhanden ist, es sich nicht um eine benutzerdefinierte Plugin- oder Themadatei handelt und es sich nur um Malware handelt, sollten Sie sicher sein, dass "löschen" die Datei. Sie können BitFire anweisen, dies für Sie zu tun, oder Sie können Ihren bevorzugten Dateieditor verwenden, um die Datei selbst zu löschen.

Umgang mit gutartigen (guten) Dateien

Wenn BitFire eine Datei fälschlicherweise als potenzielle Malware identifiziert (dies geschieht normalerweise bei Programmen, die das call_user_func() PHP function. You have several options how you can handle it. If it is a known file (a plugin or theme downloaded from the official WordPress repository) you should Reparatur the file. If you are sure that the code modification is benign, you can also choose to "erlauben" die Datei "so wie sie ist" und ihre Signatur wird von zukünftigen Scans ausgeschlossen.

Cory Marsh
Cory Marsh
Share:
Cory Marsh has over 20 years Internet security experience. He is a lead developer on the BitFire project and regularly releases PHP security and programming videos on BitFire's you tube channel.