Wie heise kürzlich berichtete, gibt es vermehrt Malware-, Phishingseiten- und Virenfunde in den .well-known-Verzeichnissen auf Webservern.
Diese Verzeichnisse werden zum Beispiel dazu genutzt, die Domaininhaberschaft beim Ausstellen eines Zertifikates zu bestätigen. Auch der weit verbreitete Dienst „Let's Encrypt“ speichert in diesem Verzeichnis eine temporäre Datei. Sonstige Dateien, wie zum Beispiel .php oder auch .exe oder .zip Dateien haben in diesen Verzeichnissen normalerweise nichts verloren. Bei der Analyse von gehackten Webseiten werden versteckte Verzeichnisse, besonders natürlich bekannte wie das .well-known häufiger übersehen, da sie je nach Befehl in der Auflistung nicht erscheinen (vgl. ls vs. ls -a).
Die neue Version 1.27.0 von ISPProtect scannt nach Dateien mit potenziell verdächtigen Endungen in diesen Verzeichnissen und meldet sie als {ISPP}suspect.in.wellknown im Malware-Bericht.
Marius Burkard arbeitet seit 20 Jahren als Software-Entwickler und kann auf eine mehrjährige Erfahrung als Server-Administrator zurückgreifen. Als einer der Lead-Developer des ISPConfig Control Panels und technischer Ansprechpartner für mehrere Hundert Webhosting-Kunden verfügt er über umfangreiche Erfahrungen mit Malware, gehackten Webseiten und der Analyse von Schwachstellen.