Firefox oskarża mnie o rozpowszechnianie złośliwego oprogramowania na mojej stronie

45

Zauważyłem, że Firefox postanowił zablokować niektóre instalatory EXE z mojej witryny, pokazując etykietę Zablokowane: Może zawierać wirusa lub oprogramowanie szpiegujące . Klikam plik prawym przyciskiem myszy, wybieram Odblokuj , a ta wiadomość jest wyświetlana z opcjami Odblokuj mimo wszystko i Zabezpiecz mnie :

Plik zawiera wirusa lub inne złośliwe oprogramowanie, które może uszkodzić komputer. Możesz wyszukać alternatywne źródło pobierania lub kontynuować mimo to.

Zauważ, że okno dialogowe nie mówi może ; mówi, że zaszkodzi komputerowi.

Na jakiej podstawie wyświetla się to ostrzeżenie?

Nikt nie wie na pewno, którego dostawcy Chrome i Firefox używają do swojej obszernej listy fałszywych alarmów. Niektórzy twierdzą, że strona stopbadware.org jest odpowiedzialna, ale nie jestem tego taki pewien.

Proszę doradzić, jak postępować, aby przywrócić to, co pozostało z moich witryn i reputację oprogramowania w sposób natychmiastowy, zanim będzie za późno. Dziękuję Ci.

Dla tych, którzy pytają o stronę i oprogramowanie, jest to: http://www.andreszsogon.com/grf-wizard/

Oprogramowanie jest moje. Jest to prosty GUI dla narzędzia wiersza poleceń; Opracowałem go za pomocą VB6, skompresowałem plik EXE aplikacji za pomocą kompresora UPX, zbudowałem instalator za pomocą Inno Setup, a następnie przesłałem go przez FTP. Zapraszam do instalacji, przetestowania i zeskanowania wszystkiego, co chcesz.

google-chrome firefox malware andreszs
źródło
35
Skąd wiesz, że twój exe nie zawiera wirusa? Być może Twój komputer ma wirusa, który zainfekował kompilator, którego używasz, a teraz kompilator wstawia wirusy do wszystkich plików exe, które próbujesz skompilować? Ewentualnie, jeśli twoja strona nie używa HTTPS, człowiek pośrodku (np. Twój ISP) może wstawiać wirusa do twojego exe.
7
Jaka jest twoja strona Czy sprawdziłeś pliki EXE na swojej stronie pod kątem VirusTotal lub innych źródeł? Skąd wiesz, że Firefox się myli?
DW
4
ten pakiet testowy ativirus online mówi, że Twój plik wykonywalny jest zainfekowany: metascan-online.com/en/scanresult/file/...
Lesto
25
Twoje pytanie jest bardzo grzeczne. To nie jest odpowiednie miejsce na upust swoich frustracji. Proces identyfikacji złośliwego oprogramowania nie jest deterministyczny; zawsze będą fałszywie pozytywne i negatywne. Masz jednak uzasadnione pytanie; to w zasadzie „Jak działa identyfikacja złośliwego oprogramowania i co mogę zrobić z fałszywym pozytywem?” Wszyscy bylibyśmy wdzięczni, gdybyś mógł usunąć osobiste, emocjonalne treści i sprowadzić je do dobrej prezentacji prawdziwego pytania.
jpmc26
6
Używasz wersji Wordpress 3.8.1 i twierdzisz, że Twoja witryna jest bezpieczna? Gorąco polecam niektóre aktualizacje ... jesteś daleki od bezpieczeństwa.

Odpowiedzi:

76

Zanim jednak wpadniesz w gniew na Firefoxa i Bezpieczne przeglądanie Google, pierwszym krokiem jest ustalenie, czy Bezpieczne przeglądanie Google jest właściwe. Często zdarza się, że witryny rozpowszechniają pliki wykonywalne zawierające złośliwe oprogramowanie lub wirusy, nie zdając sobie z tego sprawy. Często Bezpieczne przeglądanie Google ma rację, a opiekunowie witryn po prostu nie byli świadomi sytuacji - czasami ich witryna została zaatakowana przez hakerów, a czasem ktoś przesłał niektóre pliki zainfekowane wirusem, nie zdając sobie z tego sprawy.

Zacznij więc od dokładnego przyjrzenia się swojej witrynie, aby sprawdzić, czy którekolwiek z pobranych plików są problematyczne. Możesz zacząć od przeczytania Pomocy dla webmasterów ze strony stopbadware.org i pomocy dla webmasterów Google dla zaatakowanych witryn . Następnie należy wykonać kilka ogólnych kroków:

  1. Sprawdź, czy w Twojej witrynie nie ma złośliwego oprogramowania. Musisz dokładnie przeskanować witrynę, aby sprawdzić, czy którykolwiek z pobranych plików jest niebezpieczny lub zawiera wirusy / złośliwe oprogramowanie. Możesz zacząć od skorzystania z Narzędzi Google dla webmasterów, aby sprawdzić, jakie złe pliki wykrył Google. Powinieneś także spojrzeć na szczegółową stronę diagnostyczną z Bezpiecznego przeglądania Google i uważnie przyjrzeć się konkretnym stronom i plikom tam wymienionym. Możesz wyświetlić stronę diagnostyczną tutaj, aby zobaczyć, które strony wywołały wpis. Sugeruję również przesłanie każdego pliku EXE udostępnionego w witrynie do VirusTotal i sprawdzenie, czy nie ma w nim wirusów.

  2. Sprawdź, czy Twoja witryna zawiera luki w zabezpieczeniach lub została zhakowana. Często zdarza się, że hakerzy znajdują witrynę z pewnymi lukami w zabezpieczeniach, narażają ją na szwank i modyfikują, aby wstawić do niej złośliwe oprogramowanie. Po raz pierwszy administratorzy witryny dowiadują się o tym, kiedy pojawiają się na liście w Bezpiecznym przeglądaniu Google. Powinieneś więc dokładnie sprawdzić, czy ci się to stało. Oto kilka bezpłatnych usług, które skanują Twoją witrynę za Ciebie:

    Jeśli znajdziesz słabe punkty bezpieczeństwa, przełącz swoją witrynę do trybu offline i napraw je. Jeśli stwierdzisz, że Twoja witryna została naruszona, prawdopodobnie musisz ją wyczyścić i ponownie załadować wszystko ze znanej dobrej kopii zapasowej. Więcej informacji można znaleźć na stronie https://www.stopbadware.org/hacked-sites-resources .

  3. Chroń swoją witrynę przed włamaniem. Sugeruję przejrzenie bezpieczeństwa witryny i upewnienie się, że jest dobrze chroniona przed atakami hakerów, aby zapobiec włamaniu się i zmodyfikowaniu jej pod kątem złośliwego oprogramowania. Zobacz np. Https://www.stopbadware.org/prevent-badware-basics, aby uzyskać trochę tła. Upewnij się również, że oprogramowanie Twojej witryny jest w pełni zaktualizowane.

Kiedy używam tych narzędzi, oto, co znajduję:

  • Sucuri mówi, że używasz przestarzałej wersji WordPressa (wcześniejszej niż 4.2). Wygląda na to, że korzystasz z Wordpress 3.8.1; 4.2.2 to aktualna wersja. To sprawia, że ​​Twoja witryna jest podatna na ataki i może zostać zagrożona: w Wordpress 3.8.1 istnieje wiele znanych luk. Pamiętaj, aby zawsze uruchamiać aktualne wersje oprogramowania. Jeśli nie będziesz na bieżąco, stwarza to możliwość ataku na twoją stronę i wykorzystanie jej do hostowania złośliwego oprogramowania. Zaktualizuj WordPress.

  • Bezpieczne przeglądanie Google mówi, że Twoja witryna zawierała złośliwe oprogramowanie, gdy Google odwiedził w dniu 10.05.2015 r .: „1 strona (strony) spowodowały pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika”. Najwyraźniej podczas ostatniej wizyty, 05.05.2015, nie znaleziono żadnego złośliwego oprogramowania, więc wygląda na to, że w przeszłości witryna zawierała złośliwe oprogramowanie, ale już nie jest.

    Nie jest jasne, na czym polegała strona. Raport dla www.andreszsogon.com/grf-wizard twierdzi, że nie znaleziono żadnych złośliwych stron /grf-wizard. Możesz więc wnioskować, że problematyczną stroną musiała być inna strona pod www.andreszsogon.com- ale to nie było nic pod /grf-wizard. Próbowałem bawić się interfejsem online Bezpiecznego przeglądania Google, ale nie byłem w stanie zawęzić strony, która spowodowała wyświetlenie Twojej witryny w systemie.

DW
źródło
3
Wszystkie testy są uruchomione, sprawdzone Narzędzia dla webmasterów. Pamiętaj, że nie jestem zwykłym przeciętnym użytkownikiem, który nie wie, jak zainstalować AV lub go zaktualizować; Od 15 lat opracowuję oprogramowanie i aplikacje internetowe. Strona jest bezpieczna, całe oprogramowanie jest CZYSTE.
Jakiego rodzaju podpisy / certyfikaty prawdopodobnie zostały podpisane samodzielnie? Również w jakiej rozgrywce jest używana kompresja, niektóre typy kompresji są częściej oznaczane jako iffy
78
@Andrew Szczerze, jeśli chcesz mieć doświadczenie, o którym mówisz, wiesz, że stwierdzenie typu „Witryna jest bezpieczna” jest całkowicie niemożliwe. Np .: korzystasz z wordpress, przez lata było wiele exploitów zero-day przeciwko instalacjom wordpress. Ponadto korzystasz z reklam Google Adsense i prawdopodobnie używasz co najmniej jednej wtyczki Wordpress innej firmy. Wszyscy uważali, że prawdopodobnie masz się dobrze, ale oświadczenie, że wiesz, że to fakt, jest tylko znakiem, że nie wiesz, o czym mówisz. Tak czy inaczej, (cd.)
David Mulder
21
Bezpieczne przeglądanie w Google czasami daje naprawdę dziwne fałszywe alarmy i według mnie są one naprawiane dość szybko, więc powodzenia z tym. Wszyscy uważani za projekt Bezpiecznego przeglądania Google zaoszczędził mi więcej kłopotów niż mnie kosztował, ale od czasu do czasu może być dość irytujący.
David Mulder
10
@Andrew UPX to pakiet najczęściej używany do pakowania złośliwego oprogramowania, więc jeśli spakujesz również swoje pliki do pobrania z UPX, uruchomisz alarmy.
Michael Hampton
32

Źródło Niedawno zaczęto usuwać pliki do pobrania, twierdząc, że są „wirusami lub oprogramowaniem szpiegującym”.

„W ciągu ostatnich dwóch dni część pobierania zaczęto usuwać, mówiąc w oknie pobierania komunikat o błędzie„ Zablokowany: może zawierać wirusa lub oprogramowanie szpiegujące ”.

...

Firefox wykorzystuje dane z projektu „Bezpiecznego przeglądania” Google do oceny reputacji stron internetowych i plików do pobrania. Co jakiś czas Google zmienia dostarczane dane, na przykład może oznaczać potencjalnie niechciane programy oprócz faktycznego złośliwego oprogramowania.

W przyszłości programiści rozważają opcję przesłonięcia bloku i pobrania pliku. Najprawdopodobniej minie to kilka miesięcy, ponieważ zmiany wrażliwe na bezpieczeństwo wymagają czasu.

Na razie, jeśli uważasz, że te bloki plików są „fałszywie pozytywne” i że pliki są rzeczywiście bezpieczne, możesz wykonać jedną z następujących czynności:

(1) Pobierz plik za pomocą innej przeglądarki (podobnie jak)

(2) Pobierz plik za pomocą dodatku do pobierania, który omija tę kontrolę bezpieczeństwa. Słyszałem o tym w innym wątku, ale sam tego nie wypróbowałem (a także nie wiem, którym dodatkom można zaufać!).

(3) Wyłącz tymczasowo funkcję Bezpiecznego przeglądania, aby pobrać plik, a następnie włącz go ponownie. W oknie dialogowym Opcje znajduje się pole wyboru:

Przycisk menu „3 słupki” (lub menu Narzędzia)> Opcje> Zaawansowane

Na karcie Zabezpieczenia jest to pole wyboru „Blokuj zgłoszone witryny atakujące”. Drugie pole wyboru dotyczy stron phishingowych i nie sądzę, aby miało to wpływ na pobieranie.

Źródło Jak działa wbudowana ochrona przed phishingiem i złośliwym oprogramowaniem?

Firefox zawiera wbudowaną ochronę przed phishingiem i złośliwym oprogramowaniem, która zapewnia bezpieczeństwo w Internecie. Funkcje te ostrzegają cię, gdy odwiedzana strona została zgłoszona jako fałszerstwo internetowe legalnej witryny (zwanej czasem stronami „phishingowymi”) lub jako witryna atakująca zaprojektowana w celu wyrządzenia szkody na twoim komputerze (znanym również jako złośliwe oprogramowanie). Ta funkcja ostrzega również w przypadku pobierania plików wykrytych jako złośliwe oprogramowanie.

...

„Potwierdziłem, że moja witryna jest bezpieczna, jak mogę ją usunąć z list?”

Jeśli jesteś właścicielem witryny, która została zaatakowana i od tego czasu ją naprawiłeś, lub jeśli uważasz, że witryna została zgłoszona przez pomyłkę, możesz poprosić o jej usunięcie z list. Zachęcamy właścicieli witryn do dokładnego zbadania każdego takiego raportu; witryna może często zostać przekształcona w stronę ataku bez widocznych zmian.

  • Aby poprosić o usunięcie z listy zgłoszonych witryn phishingowych, skorzystaj z tego formularza udostępnionego przez Google.
  • Aby zażądać usunięcia z listy zgłoszonych stron z złośliwym oprogramowaniem, skorzystaj z tej , dostarczonej przez stopbadware.org.
DavidPostill
źródło
1
Dzięki, spróbuję tych formularzy. Zauważ, że wyłączenie filtra lub użycie innej przeglądarki (?) Nie jest rozwiązaniem i nie mogę zmusić moich użytkowników do korzystania z tej lub innej przeglądarki, ponieważ błędnie oskarżają moje pliki, które są idealnie czyste. Jedynym możliwym rozwiązaniem jest usunięcie fałszywych alarmów z bazy danych dostawcy.
7
@Andrew, polecam również wysłanie plików do virustotal . Prawdopodobnie dowiesz się, że niektórzy dostawcy wykrywają twoje programy jako złośliwe oprogramowanie (prawdopodobnie podpisy ogólne).
Ángel
19
@Andrew To niefortunne, że nie tylko złożyłeś rant, ale także odmawiasz przyjęcia odpowiedzi na podstawowe pytanie w nim zawarte. Witryna ostatecznie stanowi repozytorium wiedzy dla innych użytkowników, a nie osobiste biuro pomocy.
Odkryłem, że GWT pokazuje ten problem w osobnej sekcji o nazwie „Problemy bezpieczeństwa”, a adres URL jest oznaczony jako „Nieokreślone złośliwe oprogramowanie”. Ponownie przesłałem instalator bez użycia UPX dla głównego pliku EXE i uprzejmie poprosiłem o sprawdzenie, aby naprawić ten problem, dzięki.
2
Andrew, jeśli instalator przejdzie test złośliwego oprogramowania z usuniętym UPX, pamiętaj o zaakceptowaniu mojej odpowiedzi.
19

Musiałem przerwać korzystanie z UPX z moim własnym oprogramowaniem, ponieważ wiele skanerów antywirusowych uważa użycie programu pakującego za de facto dowód niewłaściwego postępowania. Możesz spróbować opublikować rozpakowaną wersję pliku do pobrania i sprawdzić, czy ostrzeżenie zniknie.

Erik Knowles
źródło
1
jest odpowiedź? należy to zamieścić w komentarzach.
2
W rzeczywistości Avast wykrywa UPX.exe jako „zagrożenie”. Ale pliki skompresowane za jego pomocą są uważane za „czyste”. Na wszelki wypadek przesłałem teraz nowy instalator z nieskompresowanym plikiem EXE.
15
Francisco: Dlaczego powinienem opublikować to jako komentarz? Było wyraźnie zamierzone jako odpowiedź na pytanie PO.
6
@FranciscoTapia To zdecydowanie odpowiedź i prawdopodobnie właściwa.
Brad
1
Dobre pytanie, choć zupełnie nie na temat, to dlaczego warto używać UPX lub innego programu pakującego EXE dzisiaj, w 2015 roku, z dzisiejszymi prędkościami pobierania? Nie mogę uwierzyć, że pakowanie plików EXE w celu zmniejszenia ich rozmiaru (jeśli nie ma więcej argumentów przemawiających za tym) może przynieść korzyści każdemu, szczególnie biorąc pod uwagę wszystkie problemy (wyrażone tutaj w wielu punktach), które można mieć robiąc to.
trejder
12

Zrobiłem źródło wyświetleń na stronie, którą podłączyłeś, i cóż, rodzi to pytanie: czy to ty dodałeś następujący znacznik skryptu do swojej witryny? A może komuś udało się to zakraść do twojego wordpressa?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Jak wolę raczej podejrzewać, że dołączenie czegokolwiek z superfisha zablokuje bazę danych Google Safe Search. Jest rzeczą oczywistą, że superfish ma bardzo złą reputację. W końcu spójrz na to, co stało się z Lenovo, gdy pod koniec ubiegłego roku umieścił w swoich notebookach oprogramowanie superfish. Zabrali OGROMNY PR.

Ponadto, ponieważ oprogramowanie AV bardzo często nie może / nie znajdzie wielu, jeśli w ogóle, plików zawierających złośliwe php. Zdecydowanie odradzam ręcznie (dobrze z Windows find lub * nix grep, zależnie od przypadku dla platformy, na której działa twoja strona) przeszukując całą instalację WordPressa w poszukiwaniu plików, które nie należą, a SZCZEGÓLNIE wszelkie pliki zawierające kod php, który mają w nich eval () i / lub base64_decode (), szczególnie zagnieżdżone! Jeśli znajdziesz takie, które oczywiście nie są częścią systemu i nie są oczekiwane, powinieneś natychmiast rozpocząć nową instalację wordpress i przenieść do niego swój katalog wp-content, pod warunkiem, że nie ma tam również żadnych złych plików. W takim przypadku najlepiej byłoby zacząć od nowa od nowa. Na szczęście jest to dość łatwe z witryną Wordpress.

Mce128
źródło
15
Może to być po prostu wtyczka Superfish jQuery , która wydaje się przypadkowo nazwana jako taka.
IMSoP
2
Warto zauważyć, że może to być tak proste, że wtyczka Superfish jQuery generuje fałszywie dodatni ze względu na podobieństwo nazwy do innych Superfish. Jeśli ludzie mają trudności z ich rozróżnieniem, nic dziwnego, że komputer może mieć trudności.
azyl
Dzięki za sugestię, jak powiedzieli inni użytkownicy, ten skrypt jest prostą częścią opakowania JS motywu Contango. Ponadto, jeśli problem dotyczył instalacji WordPress, na pewno wszystkie pliki zostałyby zablokowane, a nie tylko jeden lub dwa.
2
@Andrew Tak, absolutnie, jeśli tak naprawdę jest to część szablonu / motywu, to nie stanowi problemu, ponieważ byłby wówczas dostępny dla całej witryny. Podejrzewam, że być może powinienem był rozejrzeć się po witrynie i sprawdzić, czy to na wszystkich stronach. Często z mojego doświadczenia wynika, że ​​gdy dochodzi do kompromisu, często dziwne rzeczy są wstrzykiwane na pojedyncze strony. Oczywiście skoczyłem tam z pistoletu. Głównie dlatego, że nie wiedziałem o wtyczce jQuery, która dzieli tę nazwę z tym podstępnym oprogramowaniem. Zastanawiałem się, czy może to był instalator rouge, czy coś, co nie dodało tego.
1
Chociaż nadal zdecydowanie zalecam sprawdzenie tego, co opisałem w poprzednim akapicie. Niestety, bardzo często widzę tego rodzaju rzeczy, gdy otrzymuję połączenia od klientów, którzy mają zainfekowane witryny WordPress. Jest to dość powszechny wzorzec w plikach witryny. W rzeczywistości przez większość czasu nie znajdę nawet żadnych plików systemowych, które zostały zmienione, lub tylko niewielką garść z kilkoma obcymi nieprzyjemnymi plikami leżącymi wokół dosłownie tysięcy! Nazwy plików w takich przypadkach zwykle próbują wyglądać na część systemu lub są generowane bełkotliwe nazwy.
8

... skompresował plik EXE aplikacji za pomocą kompresora UPX ...

~ 10 lat temu wirusy były powszechnie używane przez wirusy, aby utrudnić ich wykrycie i poddanie inżynierii wstecznej. W rzeczywistości stało się tak powszechne, że wiele programów antywirusowych uważa teraz domyślnie każdy program z pakietem UPX za zagrożenie. To prawie na pewno twój problem.

Naprawdę masz tylko dwie opcje:

  • Skorzystaj z VirusTotal, aby ustalić, które witryny uważają oprogramowanie za złośliwe, i zgłoś swój program do tych firm jako fałszywie pozytywny.
  • Użyj innej metody do skompresowania oprogramowania. Dobrą alternatywą są samorozpakowujące się pliki wykonywalne , które powinny wykonać jeszcze lepszą pracę przy kompresowaniu oprogramowania, bez podejrzanego zaciemniania.
BlueRaja - Danny Pflughoeft
źródło
1
Dzięki, to bardzo przydatne. Właściwie moje AV wykryło kompresor UPX jako rodzaj „zagrożenia”, co jest bardzo denerwujące. Pozbędę się tego ze wszystkich kolejnych wersji.
andreszs
4

Prowadzę 20-letnią stronę internetową dla entuzjastów oprogramowania, a także napotykam na wasze problemy. Jest to strona, która rozkwitła około 2000 roku i teraz działa jako archiwum. Około 3 razy w roku Bezpieczne przeglądanie Google wykrywa nowy „złośliwy program”, zwykle napisany i przesłany około 1999–2002. Nieważne, że zawsze tam był. Nieważne, że nikt nie dotknął go przez ponad dekadę. Skanowanie tego pliku za pomocą programu virustotal nieuchronnie pokazuje, że istnieje wirus, ale nigdy nie jest tak przez popularne oprogramowanie antywirusowe, takie jak Symantec lub inne, zawsze takie, o których nigdy nawet nie słyszałeś - jeden z jego skanerów antywirusowych nawet pokazał, że istnieje wirus na 530 bajtowym pliku tekstowym.

Więc jakie jest rozwiązanie? Biorąc pod uwagę, że Google Bezpieczne przeglądanie to sędzia, ława przysięgłych i kat, masz 3 opcje:

  1. Usuń plik i zrób coś innego ze swoim życiem (zalecane dla zdrowia psychicznego)

  2. Radykalnie zmień zawartość pliku (zwykle, jeśli po zmianach virustotal go nie odbierze, możesz iść)

  3. Umieść plik do pobrania za loginem

Osobiście nie dbałbym o to, po prostu jest mi smutno, gdy muszę usunąć oprogramowanie, którego tak naprawdę nie można znaleźć nigdzie indziej.

Rozpruwacz
źródło