Boa tarde pessoal !

Recebi notificação da KingHost a respeito de software malicioso, que foi distribuido na publicação ScriptCase.

Após a publicação, todas as aplicaçõçes ao serem chamadas geraram notificação a respeito de pishing e falta de segurança.

Após a remoção dos arquivos voltou a funcionar.
Segue a informação do provedor, e peço ajuda caso tenham tido o mesmo problema, talvez a Netmake tenha que rever a utilização destes componentes listados como inseguros.
Detalhe: Só ocorre após a distribuição com as novas versões, com o PHP 8.1.
As publicações com php 7.3 nã apresentavam problemas.

Segue texto (oem_fs):

ABUSE - Resultado do scan de arquivos no site tairum.com.br

Prezado usuário,

Nosso departamento de segurança detectou arquivos maliciosos no site: tairum.com.br. Efetuamos a varredura procurando VÍRUS, TROJAN e MALWARE em: 2023-05-09 17:56:15.

Por questões de segurança movemos o(s) arquivo(s) infectados para:
/home/tairum/abuse-quarentena-202305091708

Abaixo segue relatório detalhado dos arquivos infectados:

Clam AntiVirus Scan

------------------------------------------------------------------------------- /home/tairum/www/scriptcase/prod/third/oem_fs/FusionCharts/js/fusioncharts.js: YARA.obfuscated_eval.UNOFFICIAL FOUND /home/tairum/www/scriptcase/prod/third/oem_fs/FusionCharts/js/fusioncharts.js: moved to ‘/home/tairum/abuse-quarentena-202305091708/fusioncharts.js’ /home/tairum/www/saas/tairum/_lib/prod/third/oem_fs/FusionCharts/js/fusioncharts.js: YARA.obfuscated_eval.UNOFFICIAL FOUND /home/tairum/www/saas/tairum/_lib/prod/third/oem_fs/FusionCharts/js/fusioncharts.js: moved to ‘/home/tairum/abuse-quarentena-202305091708/fusioncharts.js.001’ /home/tairum/www/saas/lenitel/_lib/prod/third/oem_fs/FusionCharts/js/fusioncharts.js: YARA.obfuscated_eval.UNOFFICIAL FOUND /home/tairum/www/saas/lenitel/_lib/prod/third/oem_fs/FusionCharts/js/fusioncharts.js: moved to ‘/home/tairum/abuse-quarentena-202305091708/fusioncharts.js.002’ ----------- SCAN SUMMARY ----------- Known viruses: 8684955 Engine version: 0.103.8 Scanned directories: 8250 Scanned files: 116467 Infected files: 3 Data scanned: 4175.12 MB Data read: 4436.42 MB (ratio 0.94:1) Time: 2850.469 sec (47 m 30 s) Start Date: 2023:05:09 17:08:45 End Date: 2023:05:09 17:56:15

Atenciosamente,
Time KingHost

estou passando pelo mesmo problema, depois que atualizei o appweb para ver 8.1 do php, todos os browsers fica sinalizando site fraudulento, tentei ver com o provedor eles não atualizam o php pq no mesmo cpanel só podem trabalhar com uma versão do php, e no meu caso utilizo o domínio na versão 7.3 e se mudar para 8.1 os outros clientes que utilizam a mesma estrutura serão prejudicados, vou ter que mudar a aplicação para outro provedor já com tudo na ver 8.1

Note que eles estão usando uma assinatura do clamav não oficial.
O clamav usando a assinatura não oficial pode detectar toda a criptografia dos scripts do Scriptcase como obfuscated e gera o alerta.
A criptografia existe para proteger o código fonte do Scriptcase.
Então fica este falso positivo.
No caso do funsioncharts.js nesta pasta oem_fs. ele realmente está criptografado o que também gera o alerta.
Eu cheguei a enviar este arquivo para o virustotal e 61 antivírus não detectaram nada neste arquivo:

Olá !
Migrei para um site configurado para PHP 8 e a mensagem continua.
Ainda não consegui resolver o problema.

Sem alguem souber como resolver isso, agradeço