Wie heise kürzlich berichtete, gibt es vermehrt Malware-, Phishingseiten- und Virenfunde in den .well-known-Verzeichnissen auf Webservern.

Diese Verzeichnisse werden zum Beispiel dazu genutzt, die Domaininhaberschaft beim Ausstellen eines Zertifikates zu bestätigen. Auch der weit verbreitete Dienst „Let's Encrypt“ speichert in diesem Verzeichnis eine temporäre Datei. Sonstige Dateien, wie zum Beispiel .php oder auch .exe oder .zip Dateien haben in diesen Verzeichnissen normalerweise nichts verloren. Bei der Analyse von gehackten Webseiten werden versteckte Verzeichnisse, besonders natürlich bekannte wie das .well-known häufiger übersehen, da sie je nach Befehl in der Auflistung nicht erscheinen (vgl. ls vs. ls -a).

Die neue Version 1.27.0 von ISPProtect scannt nach Dateien mit potenziell verdächtigen Endungen in diesen Verzeichnissen und meldet sie als {ISPP}suspect.in.wellknown im Malware-Bericht.

Neue Version scannt nach Dateien in .well-known-Verzeichnissen