تشخیص اشتباه آلودگی Win.Exploit.CVE_2019_0903-6966169-0
آپدیت جدید دیتابیس و Signature آنتی ویروس ClamAV بر روی سرور های لینوکسی کاربران را به دردسر انداخته بسیاری از فایل ها و اطلاعات کاربران این سرورها حذف شده اند. در ادامه می توانید جزئیات اتفاق را مطالعه نمایید.
بروزرسانی ۶ خرداد ۹۸:
در آپدیت ClamAV 0.101.2 ظاهرا این مشکل برطرف شده است.
-------------------------------------------------
دو روز پیش بود که تیم پشتیبانی سرورهای جومی ایمیل هایی از سرورهای میزبانی دریافت نمود و ماجرا از اینجا شروع شد.
در سرور ها و هاست های شرکت جومی به صورت خودکار تمام فایل های موجود در سرور را بصورت ۲۴ ساعته از نظر فایلهای ویروسی و آلوده بررسی می شود و پس از هر اسکن ایمیلی به مدیر سرور ارسال می شود که شامل جزئیات اسکن می باشد در این ایمیل اطلاعات فایل های آلود و عملیاتی که روی آنها توسط آنتی ویروس انجام شده مشخص می شود.
دو روز پیش ایمیل آنتی ویروس یکی از سرورها به دست ما رسید که در آن فهرستی از فایل های فونت های موجود در سایت های مشتریان مشاهده می شد که آنتی ویروس سرور آن ها را از پوشه هایشان حذف و به پوشه قرنطینه منتقل کرده بود. در زیر نمونه آن را می توانید مشاهده نمایید:
{CAV}Win.Exploit.CVE_2019_0903-6966169-0 : /***/fonts/liza/liza.eot => /****/quarantine/liza.eot.3221117599
{CAV}Win.Exploit.CVE_2019_0903-6966169-0 : /****/IcoMoon.ttf => /****/quarantine/IcoMoon.ttf.595011816
{CAV}Win.Exploit.CVE_2019_0903-6966169-0 : /****/fonts/FontAwesome.otf => /****/quarantine/FontAwesome.otf.1016137
متوجه شدیم مشکلی اساسی رخ داده است و با بررسی های انجام شده مشخض شد که آنتی ویروس ClamAV در آپدیت جدید دیتابیس و Signature خود بسیاری از فایل های فونت های eot, ttf, otf و حتی PDF را نیز به عنوان ویروس شناسایی کرده و آنها را قرنطینه کرده.
با توجه به سیستم موجود در سرور های جومی، فایل های شناسایی شده در سرور ما پاک نمی شوند و فقط قرنطینه می شوند ورپس از بررسی توسط کارشناسان در صورت نیاز پاک می شوند در اقدامات اولیه این آپدیت جدید را برروی سرور های غیر فعال نمودیم تا از ادامه شناسایی و قرنطینه این فایل ها جلوگیری نماییم و سپس فایل هایی که به اشتباه قرنطینه شده بود را به مسیر اصلی آنها برگرداندیم. در نتیجه در حال حاضر مشکلی برای مشتریان هاست های شرکت جومی وجود ندارد و با توجه به گزارشات ارسال شده به پشتیبانی ClamAV امیدواریم بزودی آپدیت جدیدی انجام شود و مشکل حل شود.
اما با توجه به گزارشاتی که در دیگر سایتها مشاهده می شود شاهد موارد متعدد بسیاری هستیم:
- در هاست های سی پنل فایل ها هنگام آپلود اسکن می شوند و در صورتی که فایل فونت در آنها باشد امکان آپلود فایل را نمی دهد و آن را به عنوان یک فایل ویروسی شناسایی می کند.
- در سایت های وردپرسی شاهد این هستیم که بسیاری از افزونه ها را بصورت ویروسی شناسایی می کند و بسیار از صفحات سایت ها از دسترس خارج شده اند.
امیدواریم و توصیه می کنیم از سایت هایتان حتما بک آپ سالم داشته باشید زیرا بسیاری از سرور ها در صورت شناسایی فایل آلوده آن را پاک می کنند و مانند سرورهای ما آن را قرنطینه نمی کنند به همین دلیل در صورت حذف امکان برگرداندن آنها وجود ندارد. بهمین دلیل وجود بک آپ سالم در این شرایط ضروری است.
مورد و مشکل را به مدیر هاستتان گزارش کنید و بدلیل این که ممکن است با تاخیر موضوع را تایید کنند می توانید لینک این مقاله را برایشان ارسال کنید تا بتوانند سریعتر جلوی حذف اطلاعات مشتریان را بگیرند.