Herunterladen der Eicar-Testdatei über HTTP die seit Juli 2020 nicht mehr erkannte Eicar-Testdatei
59093
Created On 08/25/20 02:34 AM - Last Modified 08/03/22 03:14 AM
Symptom
Eicar.org verwendet, um die folgenden HTTP Links zum Herunterladen eicar Testdatei.
http://2016.eicar.org/download/eicar.com
http://www.eicar.org/download/eicar.com Einige Kunden haben die Links beibehalten und
versuchen, die Dateien über die Links herunterzuladen. Wenn Eicar Testdatei mit den oben genannten Links heruntergeladen HTTP wird, wird sie firewall weder von "Eicar File Detected(39040)" (Typ: verwundbar) noch "Eicar Test File(100000)" (Typ: Virus) erkannt.
Dies geschah seit etwa Mitte Juli 2020.
Cause
A Änderung erfolgte am Eicar.org um Mitte Juli 2020.
Hier ist der Screenshot der Portalseite (https://www.eicar.org/?page_id=3950).
(Screenshot wurde am 25. Aug 2020 aufgenommen)
Eicar.org das Verhalten geändert, um alle "http"-Anforderungen auf "https" umzuleiten. (Es kann sich in Zukunft wieder ändern.)
Dies kann durch Ausführen eines Curl-Befehls oder durch einen Blick auf eine Paketerfassung bestätigt werden.
| $ curl http://2016.eicar.org/download/eicar.com <!DOCTYPE HTML PUBLIC "-/ IETF / / DTD HTML 2.0/ EN "> <html><head> <title>301 Dauerhaft verschoben</title> </head><body> <h1>Dauerhaft verschoben</h1> <p>Das Dokument wurde <a href="https://www.eicar.org/download/eicar.com">hierher</a>verschoben.</p> </body></html> |
Resolution
Da der Datenverkehr auf https umgeleitet wird, ist eine SSL Entschlüsselung erforderlich, um die Eicar-Testdatei auf der zu firewall erkennen.
Als Problemumgehung können wir die Eicar-Testdatei von unserem eigenen Webserver über die firewall herunterladen.
Hier ist das Beispiel für die Ausführung eines einfachen Webservers von Python.
Python2:
- Python -m SimpleHTTPServer 80
Python3:
- Python -m http.server