Backup oder Virus?

Hallo, ich habe Nextcloud über PLESK-Erweiterungen installiert. Direkt ein paar Minuten danach hat mein Immunify360 einen Virus gemeldet und den auch sofort eliminiert.

/var/www/vhosts/DOMAINNAME/apps/mail/vendor/nextcloud/kitinerary-bin/bin/kitinerary-extractor

Soweit so gut.

Gestern bekam ich die Meldung dass die Talk-App aktualisiert werden muss und bei allen Versuchen ein Update zu fahren bekomme ich eine wirklich seltsame Meldung

Execution filemng has failed with exit code 255, stdout: Nextcloud Updater - version: v28.0.2rc3-15-gde0582d Step 5 is currently in process. Please call this command later or remove the following file to start from scratch: /var/www/vhosts/DOMAINNAME/.nextcloud/data/38d27f597011/updater-ocy9zgd3y0ni/.step , stderr:

Wenn ich diese Datei .step lösche dann installiert sie sich nach wenigen Sekunden neu.

Wenn ich mir das Dateisystem ansehe dann existiert neben dem Hauptverzeichnis ein “unsichtbares” Unterverzeichnis namens .nextcloud

Darin befindet sich der Ordner “data” und darin ein erneutes Unterverzeichnis mit dem vertrauenerweckenden Namen 38d27f597011

In diesem Verzeichnis wiederum befinden sich mehrere Dateien

Neben Unterverzeichnissen mit den Namen der 4 User findet sich ein Subdirectory namens files_external und weitere mit hübschen Namen wie

appdata_ocy9zgd3y0ni und
updater-ocy9zgd3y0ni

Das sind die Unterverzeichnisse. Dateien gibt es mit den folgenden Namen:

.htaccess
.ocdata
index.html
nextcloud.log
updater.log

Im Verzeichnis updater-ocy9zgd3y0ni befinden sich im Verzeichnis backups 4 weitere Unterverzeichnisse, die tatsächlich wie Backups aussehen und im Verzeichnis download die neue nextcloud-Version.

Daneben gibt es die “unsichtbare” Datei .step, die sich beim Löschen wieder neu installiert.

Bevor ich dem Verlangen meines sehr unruhigen Zeigefingers nachgehe und den ganzen Kram lösche, andererseits aber von Immunify keine weiteren Warnmeldungen gekommen sind möchte ich gerne verstehen was das ist, um mein Wissen über Nextcloud zu erweitern.

Im “richtigen” Installationsverzeichnis befindet sich im Ordner “data” kaum etwas.

Viele Grüsse,

Harald

Also die Datei gibt es und die Version bei mir hat keinen Viren-Scanner getriggert:

(falls das die gleiche Version ist)

Keine Ahnung, warum es ein zweites Verzeichnis mit dem Punkt gibt. Von Nextcloud ist das nicht typisch, evtl. eine Marotte von Plesk (kenne ich nicht), oder wirklich ein Problem.

Das schaut gut aus, das eine sind Daten von Apps, das andere vom Updater.

Das ist auch zu erwarten.

Also nach erfolgreichem Update habe ich eine .step-previous-update. Eine .step ist während eines Updates auch normal, damit man weiß, dass das Update schon gestartet wurde (und man nicht ein zweites startet), bzw. man kann dadurch auch sehen in welchem Update-Schritt man sich befindet. Wenn du das löschst, dann macht er das Update einfach normal.
Eine neue Datei würde ich erwarten, wenn du das Update noch mal startest.

Das sieht komisch aus. Allerdings in einem Test-Setup hatte ich auch ein paar Ordner, die wohl fälschlicherweise von Apps angelegt wurden (bin nicht sicher ob das aus der Zeit vor dem appdata-Verzeichnis war).

Wobei was auch komisch ist, wenn du eine App updatest (und nicht das ganze Nextcloud), dann geht das eigentlich nicht über die updater-app. Du kannst natürlich trotzdem das Hauptsystem updaten. Problem ist mit Drittanbieter, die Nextcloud in eigene Apps packen. Ggf. muss man schaue, wie die Updates empfehlen (über ihr App-Management, oder ob man direkt aus Nextcloud heraus die Updates machen kann).