Erste öffentliche Version

.env

+REACT_APP_TITLE=ZIVVT - Virenscanner Webinterface
+REACT_APP_SHORT=ZIVVT
+REACT_APP_CERT_LOGO=img/WWU-CERT.png
+REACT_APP_CERT_LINK=https://www.uni-muenster.de/CERT/
+REACT_APP_CERT_SHORT=WWU-CERT
+REACT_APP_CERT_NAME=CERT der Universität Münster (WWU-CERT)
+REACT_APP_IT_LOGO=img/ZIV.gif
+REACT_APP_IT_LINK=https://www.uni-muenster.de/ZIV/
+REACT_APP_IT_SHORT=ZIV
+REACT_APP_IT_NAME=Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
+REACT_APP_SPIDERFOOT_URL=https://zivcertdb02.uni-muenster.de:5001/startscan

.gitignore

+# See https://help.github.com/articles/ignoring-files/ for more about ignoring files.
+
+# dependencies
+/node_modules
+/.pnp
+.pnp.js
+
+# testing
+/coverage
+
+# production
+/build
+
+# misc
+.DS_Store
+.env.local
+.env.development.local
+.env.test.local
+.env.production.local
+
+npm-debug.log*
+yarn-debug.log*
+yarn-error.log*

.gitmodules

+[submodule "public/php/curlwrapper"]
+	path = public/php/curlwrapper
+	url = git@zivgitlab.uni-muenster.de:d_gawr01/curlwrapper.git

Dockerfile

+FROM php:7.2-apache
+ADD php.ini /usr/local/etc/php
+COPY /build/. /var/www/html/
+RUN chown -R www-data:www-data /var/www/html && chmod -R 777 /var/www/html

LICENSE.md

+# MIT License 
+
+- Copyright (c) 2017-2018 Westfälische Wilhelms-Universität Münster 
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.

README.md

+# ZIVVT - Web-Interface zur Virustotal-Datenbank
+
+Stellt ein Web-Interface zum Zugriff auf die [Virustotal-Datenbank](https://www.virustotal.com/), unsere Cuckoo Installation und das BSI MISP bereit.
+
+* Produktivsystem: https://www.uni-muenster.de/ZIV.CERT/vt
+* Testsystem: https://www.uni-muenster.de/ZIV.CERT/vt-neu
+
+## Features
+
+Von zur Analyse ausgewählten Dateien werden im ersten Schritt nur Hash-Werte berechnet und diese zu Virustotal übertragen bzw. in der Cuckoo Datenbank und im BSI MISP gesucht. Sollte eine Datei nicht bekannt sein, erhält der Nutzer die Möglichkeit, diese hochzuladen, um sie bei Virustotal oder in einer Cuckoo Sandbox überprüfen zu lassen. Vor dem Hochladen muss der Nutzer aber bestätigen, dass die jeweilige Datei keine personenbezogenen oder sensiblen Daten enthält, was bei Virustotal selbst nicht notwendig wäre.
+Sowohl bei bekannten als auch hochgeladenen Dateien wird eine Übersicht über die verschiedenen AV-Produkte, die bei Virustotal eingesetzt werden, angezeigt und wie diese auf die Datei reagiert haben. Die Cuckoo Sandbox Analyse enthält eine globale Einschätzung der Gefährlichkeit der Gefahr mit Aufschlüsselung nach den Kriterien, sowie Screenshots von der Ausführung.
+
+Ebenso wie Dateien können URLs oder IP-Adressen per Drag&Drop in das Eingabefeld gezogen werden und ebenfalls analysiert werden. Hierbei können auch SHA256 Hashwerte direkt überprüft werden.
+
+Zusätzlich ist auch ein direkter Zugriff auf das PHP-Backends möglich, sodass die Ergebnisse der Anfragen programmatisch direkt verarbeitet werden können.
+Die Rückgabe erfolgt immer in Form eines JSON-Strings der Form:
+```javascript
+{"status":200,"result":"<Antwort von Virustotal>","debug":""}
+```
+* [checkHash.php](/public/php/checkHash.php) - Suche nach SHA256-Hashwerten von Dateien per GET-Request (Bsp.: `checkHash.php?hash=2b977b6342a624097b669fd2347ffbcbdc8a814369b5f431835793dbaa2251c8`)
+* [checkURL.php](/public/php/checkURL.php) - Suche nach einer URL per GET-Request (Bsp.: `checkURL.php?url=uni-muenster.de`)
+* [checkIP.php](/public/php/checkIP.php) - Suche nach Informationen über eine IP per GET-Request (Bsp.: `checkIP.php?ip=128.176.6.250`)
+* [cuckoo.php](/public/php/cuckoo.php) - Cuckoo Schnittstelle (Bsp.: `cuckoo.php?action=search&hash=2b977b6342a624097b669fd2347ffbcbdc8a814369b5f431835793dbaa2251c8`)
+* [misp.php](/public/php/misp.php) - MISP Schnittstelle (Bsp.: `misp.php?action=search&query=MmI5NzdiNjM0MmE2MjQwOTdiNjY5ZmQyMzQ3ZmZiY2JkYzhhODE0MzY5YjVmNDMxODM1NzkzZGJhYTIyNTFjOA==`)
+
+### Virustotal API
+
+Das Web-Interface nutzt die [Public API](https://www.virustotal.com/de/documentation/public-api/) von Virustotal, um Hash-Werte oder Dateien überprüfen zu lassen. Der Zugriff setzt eine Registrierung voraus, steht aber kostenfrei mit einem Limit von 4 Anfragen pro Minute zur Verfügung.
+
+Da der kostenlose API Zugriff nur 4 Anfragen pro Minute ermöglicht, werden Ergebnisse für eine Stunde gecached, um Anfragen zu sparen.
+
+### Cuckoo API
+
+Das Interface benötigt Zugriff auf die [Cuckoo API](https://cuckoo.sh/docs/usage/api.html). Diese muss zuvor auf dem Server mit der Cuckoo Installation gestartet werden (`cuckoo api`).
+
+### MISP API
+
+Um zusätzlich Informationen aus dem BSI MISP (oder einer anderen MISP Instanz) zu holen, wird die [MISP API](https://www.circl.lu/doc/misp/automation/#restful-searches-with-json-result) verwendet. Ein Zugriffstoken muss hierfür erstellt werden.
+
+## Konfiguration
+
+### PHP Backend
+Die Pfade und Tokens für den Zugriff auf die APIs müssen wie in der [config.inc.php](/public/php/config.inc.php) vorgenommen werden. Hierfür kann entweder die Datei selbst bearbeitet werden oder eine eigene Konfigurationsdatei eingebunden werden (bei uns außerhalb des Webserver-Verzeichnis).
+
+Die Dateien [misp.php](/public/php/misp.php) und [userInfo.php](/public/php/userInfo.php) greifen leider auf eine externe Schnittstelle zu, welche die Gruppenzuordnung des aktuell eingeloggten Nutzers zurückliefert. Hier wäre momenta noch eine größere Anpassung nötig. Ohne diese Schnittstelle funktioniert der Dienst aber dennoch (ledeglich der Spiderfoot Tab und einige MISP Ergebnisse werden ausgeblendet).
+
+### Oberfläche
+Alle Namen, Verlinkungen und Logos können über Umgebungsvariablen angepasst werden. Hierfür kann entweder die [.env](/.env) Datei angepasst werden oder besser eine eigene `.env.local` Datei angelegt werden.
+
+## Installation
+
+Das Projekt muss einmal kompiliert werden. Dies geschieht mittels:
+```bash
+npm install && npm run test && npm run build
+```
+NPM installiert alle benötigten Pakete, führt die Tests aus und erstellt einen Build. Im `build`-Ordner sind dann die fertigen Dateien zu finden und können auf den Webserver kopiert werden.
+
+## Entwicklung
+
+### NPM
+
+Siehe [README_REACT.md](README_REACT.md).
+
+### Docker
+
+Da in Node.js keine PHP-Dateien ausgeführt werden können, kann auch ein kleiner Docker-Container zum Testen der API genutzt werden. Der Docker-Container kann mittels des folgenden Befehls erstellt und gestartet werden:
+```bash
+docker build -t zivvt . && docker run --rm -d -p 80:80 --network="host" --name zivvt_test zivvt
+```
+Die Dateien werden hierbei aus dem Ordner `build` in das Hauptverzeichnis des Docker-Webservers kopiert. Deshalb muss nach jeder Änderung `npm run build` und `docker build -t zivvt .` ausgeführt werden. Die Instanz des Docker-Containers wird automatisch nach dem Ausschalten (`docker stop zivvt_test`) entfernt.
+
+## History
+
+* 2019-10-02 - Kleinere Updates, Konfiguration verbessert und Vorbereitung für öffentliches Repo
+* 2019-08-28 - Erweitert um Cuckoo Schnittstelle und neue Oberfläche mit React
+* 2018-08-22 - Erweitert um die Suche nach URLs und IPs; Dokumentation verbessert
+* 2017-03-17 - Erste Version
+
+## Lizenz
+
+Copyright 2017-2019 Westfälische Wilhelms-Universität Münster (https://www.uni-muenster.de)
+
+Licensed under MIT (https://opensource.org/licenses/MIT)

README_REACT.md

+This project was bootstrapped with [Create React App](https://github.com/facebook/create-react-app).
+
+## Available Scripts
+
+In the project directory, you can run:
+
+### `npm start`
+
+Runs the app in the development mode.<br>
+Open [http://localhost:3000](http://localhost:3000) to view it in the browser.
+
+The page will reload if you make edits.<br>
+You will also see any lint errors in the console.
+
+### `npm test`
+
+Launches the test runner in the interactive watch mode.<br>
+See the section about [running tests](https://facebook.github.io/create-react-app/docs/running-tests) for more information.
+
+### `npm run build`
+
+Builds the app for production to the `build` folder.<br>
+It correctly bundles React in production mode and optimizes the build for the best performance.
+
+The build is minified and the filenames include the hashes.<br>
+Your app is ready to be deployed!
+
+See the section about [deployment](https://facebook.github.io/create-react-app/docs/deployment) for more information.
+
+### `npm run eject`
+
+**Note: this is a one-way operation. Once you `eject`, you can’t go back!**
+
+If you aren’t satisfied with the build tool and configuration choices, you can `eject` at any time. This command will remove the single build dependency from your project.
+
+Instead, it will copy all the configuration files and the transitive dependencies (Webpack, Babel, ESLint, etc) right into your project so you have full control over them. All of the commands except `eject` will still work, but they will point to the copied scripts so you can tweak them. At this point you’re on your own.
+
+You don’t have to ever use `eject`. The curated feature set is suitable for small and middle deployments, and you shouldn’t feel obligated to use this feature. However we understand that this tool wouldn’t be useful if you couldn’t customize it when you are ready for it.
+
+## Learn More
+
+You can learn more in the [Create React App documentation](https://facebook.github.io/create-react-app/docs/getting-started).
+
+To learn React, check out the [React documentation](https://reactjs.org/).
+
+### Code Splitting
+
+This section has moved here: https://facebook.github.io/create-react-app/docs/code-splitting
+
+### Analyzing the Bundle Size
+
+This section has moved here: https://facebook.github.io/create-react-app/docs/analyzing-the-bundle-size
+
+### Making a Progressive Web App
+
+This section has moved here: https://facebook.github.io/create-react-app/docs/making-a-progressive-web-app
+
+### Advanced Configuration
+
+This section has moved here: https://facebook.github.io/create-react-app/docs/advanced-configuration
+
+### Deployment
+
+This section has moved here: https://facebook.github.io/create-react-app/docs/deployment
+
+### `npm run build` fails to minify
+
+This section has moved here: https://facebook.github.io/create-react-app/docs/troubleshooting#npm-run-build-fails-to-minify

package.json

+{
+  "name": "ziv_malware_scan",
+  "version": "0.1.0",
+  "private": true,
+  "homepage": ".",
+  "dependencies": {
+    "@fortawesome/fontawesome-svg-core": "^1.2.21",
+    "@fortawesome/free-solid-svg-icons": "^5.10.1",
+    "@fortawesome/react-fontawesome": "^0.1.4",
+    "bootstrap": "^4.3.1",
+    "react": "^16.8.6",
+    "react-dom": "^16.8.6",
+    "react-scripts": "3.0.1",
+    "reactstrap": "^8.0.1"
+  },
+  "scripts": {
+    "start": "react-scripts start",
+    "build": "react-scripts build",
+    "test": "react-scripts test",
+    "eject": "react-scripts eject"
+  },
+  "eslintConfig": {
+    "extends": "react-app"
+  },
+  "browserslist": {
+    "production": [
+      ">0.2%",
+      "not dead",
+      "not op_mini all"
+    ],
+    "development": [
+      "last 1 chrome version",
+      "last 1 firefox version",
+      "last 1 safari version"
+    ]
+  }
+}

php.ini

+upload_max_filesize = 100M

public/index.html

+<!DOCTYPE html>
+<html lang="en">
+  <head>
+    <meta charset="utf-8" />
+    <meta name="viewport" content="width=device-width, initial-scale=1" />
+    <meta name="author" content="Dustin Gawron">
+    <meta name="copyright" content="© 2019 Universität Münster">
+    <title>%REACT_APP_TITLE%</title>
+  </head>
+  <body>
+    <div class="navbar navbar-dark bg-primary justify-content-between fixed-top py-0">
+      <span class="navbar-text py-1 w-25"><a href="%REACT_APP_CERT_LINK%" rel="noopener noreferrer" target="_blank"><img alt="%REACT_APP_CERT_SHORT% Logo" title="%REACT_APP_CERT_NAME%" src="%REACT_APP_CERT_LOGO%" height="20"></a></span>
+      <span class="navbar-text navbar-brand py-0"><strong><a class="text-white" href="#">%REACT_APP_SHORT%<small class="op-50">v2</small> <sup class="text-danger">BETA</sup></a></strong></span>
+      <span class="navbar-text py-1 w-25 text-right"><a href="%REACT_APP_IT_LINK%" rel="noopener noreferrer" target="_blank"><img alt="%REACT_APP_IT_SHORT% logo" title="%REACT_APP_IT_NAME%" src="%REACT_APP_IT_LOGO%" height="20"></a></span>
+    </div>
+    <noscript style="margin-top: 20%;">Diese Anwendung benötigt zwingend Javascript zum Funktionieren!</noscript>
+    <div class="mt-5 mb-5" id="root"></div>
+    <div class="navbar navbar-dark bg-primary justify-content-between fixed-bottom py-0 small">
+      <span class="navbar-text py-1 w-25"></span>
+      <span class="navbar-text py-1"><a href="https://www.uni-muenster.de" rel="noopener noreferrer" target="_blank">© 2019 Universität Münster</a></span>
+      <span class="navbar-text py-1 w-25 text-right"><a href="https://www.uni-muenster.de/ZIV/CERT" rel="noopener noreferrer" target="_blank">CERT der Universität Münster (WWU-CERT)</a></span>
+    </div>
+  </body>
+</html>

public/php/DBCon.php

+<?php
+  /**
+   * VirusTotal PHP Plugin Code zur Verwaltung der Datenbank
+   *
+   *
+   * Verwaltet die Datenbank zum Logging von Anfragen und Caching von fertiggestellten Anfragen zu unbekannten Dateien.
+   *
+   * @author Thorsten Küfer <thorsten.kuefer@uni-muenster.de>
+   * @author Dustin Gawron <dustin.gawron@uni-muenster.de>
+   *
+   * @copyright (c) 2019 Westfälische Wilhelms-Universität Münster
+   * @license https://opensource.org/licenses/MIT MIT
+   *
+   */
+
+  /**
+   * SQLite Datenbank Schnittstelle
+   */
+  class DBCon {
+    /** @var PDO|null PDO-Objekt */
+    protected $pdo = null;
+    /** @var bool Zeigt an, ob eine Datenbank-Verbindung aktiv ist */
+    protected $connected = false;
+
+    /**
+     * DBCon-Konstruktor; Stellt eine Verbindung zur Datenbank her und überprüft die Datenbank-Version.
+     * Erstellt eine neue leere Datenbank, falls die Datenbank nicht existiert.
+     *
+     * @return DBCon Neue DBCon Instanz
+     */
+    function __construct() {
+      $opt = [
+          PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
+              //PDO::ATTR_ERRMODE,
+              //PDO::ERRMODE_EXCEPTION,
+      ];
+
+      if(!file_exists('vtcheck.db')) {
+        error_log("DBCon.php -> DB-Datei existiert nicht! Leere DB wird erstellt!", 0);
+        try {
+          $this->pdo = new PDO('sqlite:vtcheck.db');
+          $this->pdo->exec("CREATE TABLE Zugriffe (
+                              ID INTEGER PRIMARY KEY,
+                              Datum TIMESTAMP DEFAULT (datetime('now','localtime')),
+                              Quelle VARCHAR(30),
+                              Aktion VARCHAR(30),
+                              SHA256 VARCHAR(64),
+                              Status INT DEFAULT 0,
+                              Scans INT DEFAULT 0,
+                              Positiv INT DEFAULT 0,
+                              DebugInfo TEXT
+                                          );");
+          $this->pdo->exec("CREATE TABLE VTCache (
+                              Query TEXT PRIMARY KEY,
+                              Abfragedatum TIMESTAMP DEFAULT (datetime('now','localtime')),
+                              Status INT DEFAULT 0,
+                              Ergebnis TEXT,
+                              SecKey VARCHAR(10)
+                                          );");
+          $this->pdo = null;
+        } catch(PDOException $e) {
+          $this->pdo = null;
+          error_log("DBCon.php -> Neue DB konnte nicht erstellt werden! (Fehler: $e)", 0);
+        }
+      }
+
+      try {
+        $this->pdo = new PDO('sqlite:vtcheck.db');
+        $this->connected = true;
+      } catch(PDOException $e) {
+        $this->pdo = null;
+        $this->connected = false;
+        error_log("DBCon.php -> Fehler bei der Verbindung zur DB! (Fehler: $e)", 0);
+      }
+    }
+
+    /**
+     * Prüft, ob eine Datenbank-Verbindung besteht.
+     *
+     * @return bool True bei bestehender Verbindung, sonst FALSE
+     */
+    public function isConnected() {
+      return $this->connected;
+    }
+
+    /**
+     * Fügt ein VT-Ergebnis dem Cache hinzu.
+     *
+     * @param string $query  Suchanfrage an VT
+     * @param int    $status Status der Anfrage
+     * @param string $result Ergebnis der Anfrage
+     * @param string $seckey Sicherheitsschlüssel für die automatisierte Rückmeldung
+     * @return boolean
+     */
+    public function cacheHash($query, $status, $result, $seckey) {
+      if($this->connected) {
+        $sth = $this->pdo->prepare('DELETE FROM vtcache WHERE query = ?');
+        $sth->execute(array($query));
+
+        $sth = $this->pdo->prepare('INSERT INTO vtcache (query, status, ergebnis, seckey) VALUES (?,?,?,?)');
+        $sth->execute(array($query, $status, $result, $seckey));
+        return true;
+      }
+      return false;
+    }
+
+    /**
+     * Aktualisiert einen Cache-Eintrag.
+     *
+     * @param string $query  Suchanfrage an VT
+     * @param int    $status Status der Anfrage
+     * @param string $result Ergebnis der Anfrage
+     * @param string $seckey Sicherheitsschlüssel für die automatisierte Rückmeldung
+     * @return boolean
+     */
+    public function refHash($query, $status, $result, $seckey) {
+      if($this->connected) {
+        //Prüft ob der übergebene Sicherheitstoken übereinstimmt
+        $sth = $this->pdo->prepare('SELECT query FROM vtcache WHERE query = ? AND seckey = ?');
+        $sth->execute(array($query, $seckey));
+        if(count($sth->fetchAll()) != 1)
+          return false;
+
+        //Falls Sicherheitstoken stimmt, werden die Ergebnisse eingetragen
+        $sth = $this->pdo->prepare('DELETE FROM vtcache WHERE query = ?');
+        $sth->execute(array($query));
+
+        $sth = $this->pdo->prepare('INSERT INTO vtcache (query, status, ergebnis, seckey) VALUES (?,?,?,?)');
+        $sth->execute(array($query, $status, $result, $seckey));
+        return true;
+      }
+      return false;
+    }
+
+    /**
+     * Überprüft, ob ein VT-Ergebnise bereits im Cache ist.
+     *
+     * @param string $query Suchanfrage an VT
+     * @return boolean|array
+     */
+    public function checkHash($query) {
+      require_once('config.inc.php');
+      
+      if($this->connected) {
+        $sth = $this->pdo->prepare('SELECT * FROM vtcache WHERE query = ?');
+        $sth->execute(array($query));
+        $result = $sth->fetch();
+
+        if(empty($result)) return false;
+
+        if(strtotime($result['Abfragedatum']) + $cacheTime < strtotime('now')) {
+          $sth = $this->pdo->prepare('DELETE FROM vtcache WHERE query = ? AND status = ?');
+          $sth->execute(array($query, 1));
+          return false;
+        }
+
+        return $result;
+      }
+      return false;
+    }
+
+    /**
+     * Fügt einen neuen Eintrag in das Log ein.
+     *
+     * @param string $source      Quelle der Aktion (Nutzer oder System)
+     * @param string $action      Durchgeführte Aktion
+     * @param string $sha256_hash Hash-Wert einer Datei
+     * @param int $status         Status der Anfrage
+     * @param int $scans          Anzahl der Scans (falls vorhanden)
+     * @param int $positives      Anzahl der positiven Scans (falls vorhanden)
+     * @param string $debug       Rohe Rückgabedaten für Debug-Zwecke
+     * @return boolean
+     */
+    public function logAccess($source, $action, $sha256_hash, $status, $scans, $positives, $debug) {
+      if($this->connected) {
+        $sth = $this->pdo->prepare('INSERT INTO zugriffe (quelle, aktion, sha256, status, scans, positiv, debuginfo) VALUES (?,?,?,?,?,?,?)');
+        $sth->execute(array($source, $action, $sha256_hash, $status, $scans, $positives, $debug));
+        return true;
+      }
+      return false;
+    }
+
+    /**
+     * Gibt alle Log-Einträge zurück.
+     *
+     * @return boolean|array
+     */
+    public function dumpAccess() {
+      if($this->connected) {
+        $sth = $this->pdo->prepare('SELECT * FROM zugriffe;');
+        $sth->execute();
+        return $sth->fetchAll();
+      }
+      return false;
+    }
+  }
+?>

public/php/checkFile.php

+<?php
+  /**
+   * VirusTotal PHP Plugin Code zur Überprüfung von Dateien
+   *
+   *
+   * Diese Datei stellt eine Schnittstelle zur Virustotal API bereit, um komplette Dateien zu überprüfen.
+   * Dateien müssen über POST-Request hochgeladen werden.
+   * Rückgabe erfolgt als JSON-Ausgabe der Form:
+   * `{"status":200, "debug":"", "result": {...}}`
+   * Der Wert `status` enthält den HTTP-Code der VT API und `result` die Antwort (siehe {@link https://developers.virustotal.com/v2.0/reference#file-scan}).
+   *
+   * @author Thorsten Küfer <thorsten.kuefer@uni-muenster.de>
+   * @author Dustin Gawron <dustin.gawron@uni-muenster.de>
+   *
+   * @copyright (c) 2019 Westfälische Wilhelms-Universität Münster
+   * @license https://opensource.org/licenses/MIT MIT
+   *
+   */
+
+  //Abort on error
+  if(0 < $_FILES['file']['error']) {
+    http_response_code(400);
+    exit(1);
+  }
+
+  ob_start();
+
+  require_once('config.inc.php');
+
+  include('DBCon.php');
+  $dbcon = new DBCon();
+
+  $seckey = bin2hex(openssl_random_pseudo_bytes(5));
+
+  //Send file to VT
+  #Automatische Notify-URL macht Probleme mit sso/xsso
+  #$notify_url = substr_replace((isset($_SERVER['HTTPS']) ? "https" : "http") . "://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]", 'notify.php', -13);
+  #error_log($notify_url);
+  #$notify_url = 'https://www.uni-muenster.de/ZIV.CERT/vt/php/notify.php?seckey='.$seckey;
+  $notify_url = $notifyDomain . substr($_SERVER['SCRIPT_NAME'], 0, -13) . '/notify.php?seckey=' . $seckey;
+  $file = curl_file_create($_FILES['file']['tmp_name'], '', $_FILES['file']['name']);
+  $post = array('apikey' => $apikey, 'file' => $file, 'notify_url' => $notify_url);
+  $ch = curl_init();
+  curl_setopt($ch, CURLOPT_URL, 'https://www.virustotal.com/vtapi/v2/file/scan');
+  curl_setopt($ch, CURLOPT_POST, 1);
+  curl_setopt($ch, CURLOPT_ENCODING, 'gzip,deflate');
+  curl_setopt($ch, CURLOPT_USERAGENT, $useragent);
+  curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
+  curl_setopt($ch, CURLOPT_POSTFIELDS, $post);
+
+  $result = json_decode(curl_exec($ch), true);
+  $status_code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
+  curl_close($ch);
+
+  //Log result and cache hash for requests
+  if($status_code === 200) {
+    $dbcon->logAccess('Nutzer', 'Upload', explode('-', $result['resource'])[0], $result['response_code'], 0, 0, "Notify-URL: " . $notify_url);
+    $dbcon->cacheHash(explode('-', $result['resource'])[0], -2, '', $seckey);
+  } else {
+    $dbcon->logAccess('Nutzer', 'Upload', "-", $status_code, 0, 0, "Notify-URL: " . $notify_url . " - Antwort: " . json_encode($result, true));
+  }
+
+  //Generate expected response
+  $response = array();
+  $response['status'] = $status_code;
+  $response['result'] = $result;
+
+  $debugOutput = ob_get_contents();
+  ob_end_clean();
+
+  $response['debug'] = $debugOutput;
+
+  echo(json_encode($response, true));
+  exit();
+?>

public/php/checkHash.php

+<?php
+  /**
+   * VirusTotal PHP Plugin Code zur Überprüfung von Hash-Werten
+   *
+   *
+   * Diese Datei stellt eine Schnittstelle zur Virustotal API bereit, um Hash-Werte zu überprüfen.
+   * Anfragen können über GET-Request gestellt werden mit den Parametern `hash` (enthält die zu prüfende URL) und optinal `auto`.
+   * Beispiel: `checkHash.php?hash=6e26a393c937bddb836c5a1bc2ddd41157f88d61c264439b924490ea78647169`
+   * Rückgabe erfolgt als JSON-Ausgabe der Form:
+   * `{"status":200, "debug":"", "result": {...}}`
+   * Der Wert `status` enthält den HTTP-Code der VT API und `result` die Antwort (siehe {@link https://developers.virustotal.com/v2.0/reference#file-report}).
+   *
+   * @author Thorsten Küfer <thorsten.kuefer@uni-muenster.de>
+   * @author Dustin Gawron <dustin.gawron@uni-muenster.de>
+   *
+   * @copyright (c) 2019 Westfälische Wilhelms-Universität Münster
+   * @license https://opensource.org/licenses/MIT MIT
+   *
+   */
+
+  //Check if all vars are submitted
+  if(!isset($_GET['auto']) && !isset($_GET['hash'])) {
+    http_response_code(400);
+    exit(1);
+  }
+
+  ob_start();
+
+  require_once('config.inc.php');
+
+  include('DBCon.php');
+  $dbcon = new DBCon();
+
+  $auto = $_GET['auto'];
+  $hash = $_GET['hash'];
+
+  //Check if hash is cached and use cached version
+  $cache = $dbcon->checkHash($hash);
+  if(!empty($cache)) {
+    $status_code = 201;
+    $result = json_decode(str_replace('\\', '', $cache['Ergebnis']), true);
+    $result['response_code'] = (int) $cache['Status'];