Firefox обвиняет меня в распространении вредоносного ПО на моем сайте

Я заметил, что Firefox решил заблокировать некоторых инсталляторов EXE с моего сайта, показывая ярлык Blocked: может содержать вирус или шпионское ПО . Я щелкнул правой кнопкой мыши файл, выберите Разблокировать , и это сообщение будет показано с помощью Unblock Anyway и Keep me Safe параметры:

  

Файл содержит вирус или другую вредоносную программу, которая повредит вашему   компьютер. Вы можете искать альтернативный источник загрузки или продолжать в любом случае.

Обратите внимание, что в диалоговом окне не указано может ; он говорит, что вредит вашему компьютеру .

На каком основании показано это предупреждение?

Никто не знает наверняка, какой провайдер Chrome и Firefox используют для своего обширного списка ложных срабатываний. Некоторые говорят, что сайт stopbadware.org несет ответственность, но я не уверен.

Просьба сообщить, как начать восстанавливать то, что осталось от моих сайтов и репутации программного обеспечения, сразу же, пока не стало слишком поздно. Спасибо.

Для тех, кто спрашивает о сайте и программном обеспечении, это: http: //www.andreszsogon .com /ГФП-мастер /

Программное обеспечение мое. Это простой графический интерфейс для инструмента командной строки; Я разработал его с помощью VB6, сжал EXE приложения с помощью UPX-компрессора, построил инсталлятор с помощью Inno Setup, а затем загрузил его через FTP. Я предлагаю вам установить его, протестировать и сканировать все, что вам нужно.

44 голоса | спросил andreszs 25 Maypm15 2015, 18:22:14

6 ответов


74

Перед тем, как слишком сильно поднять ваш гнев против Firefox и Google Safe Browsing, первым шагом будет выяснить, прав ли Google Safe Browsing. Нередко сайты распространяют исполняемые файлы, содержащие вредоносное ПО или вирусы, не понимая, что они это делают. Часто Google Safe Browsing прав, и сторонники сайта просто не знали о ситуации - иногда их сайт был взломан, или иногда кто-то загружал некоторые файлы, зараженные вирусом, не осознавая этого.

Итак, начните с пристального взгляда на свой сайт, чтобы узнать, может ли какая-либо из ваших загрузок быть проблематичной. Вы можете начать с просмотра справки для веб-мастеров с сайта stopbadware.org и Справка для веб-мастеров Google для взломанных сайтов . Затем вы должны предпринять несколько общих шагов:

  1. Проверьте, есть ли на вашем сайте какие-либо вредоносные программы. Вам нужно тщательно проверять свой сайт, чтобы проверить, опасны ли какие-либо загрузки файлов или содержат вирусы /вредоносное ПО. Вы можете начать с использования Инструментов Google для веб-мастеров, чтобы проверить, какие плохие файлы обнаружены Google. Вы также должны посмотреть подробную страницу диагностики из Google Safe Browsing и внимательно посмотреть на конкретные страницы и файлы, перечисленные там. Вы можете просмотреть страницу диагностики здесь , чтобы узнать, какие страницы специально вызвали листинг. Я также предлагаю вам загрузить каждый из EXE, который вы делаете на своем сайте, VirusTotal и проверить их на наличие вирусов.

  2. Проверьте, нет ли у вашего сайта дыры в безопасности или был взломан. . Часто случается, что хакеры находят сайт, который имеет некоторые дыры в безопасности, компрометирует сайт и модифицирует его, чтобы вставлять вредоносное ПО на сайт. Первое, что узнают об этом администраторы сайта, - это когда они отображаются в Google Safe Browsing. Итак, вы должны тщательно проверить, произошло ли это с вами. Вот несколько бесплатных услуг, которые сканируют ваш веб-сайт для вас:

    Если вы обнаружите уязвимости системы безопасности, откройте свой сайт и исправьте их. Если вы обнаружите, что ваш сайт был скомпрометирован, вполне вероятно, что вам нужно будет стереть сайт и перезагрузить все из резервной копии с хорошо известным. Подробнее см. https://www.stopbadware.org/hacked-sites-resources .

  3. Защитите свой сайт от взлома. . Я предлагаю вам ознакомиться с безопасностью вашего сайта и убедиться, что он хорошо защищен от взлома, чтобы кто-то не вошел и не модифицировал его для обслуживания вредоносных программ. См., Например, https://www.stopbadware.org/prevent-badware-basics для некоторого фона. Также убедитесь, что ваше программное обеспечение сайта полностью обновлено.


Когда я использую эти инструменты, вот что я нахожу:

  • Сукури говорит , что вы используете устаревшую версию WordPress (до 4.2). Похоже, вы используете Wordpress 3.8.1; 4.2.2 - текущая версия. Это делает вероятным, что ваш сайт уязвим и может быть скомпрометирован: в Wordpress 3.8.1 существует несколько известных уязвимостей. Вы должны всегда быть в курсе последних версий программного обеспечения. Когда вы не в курсе последних событий, это создает возможность для злоумышленников скомпрометировать ваш сайт и использовать его для размещения вредоносных программ. Итак, обновите WordPress.

  • Google Safe Browsing говорит , что ваш сайт размещал вредоносное ПО при посещении Google в 2015 году -05-10: «1 страница (ы) привела к загрузке и установке вредоносного ПО без согласия пользователя». По-видимому, никакой вредоносной программы не было обнаружено в последнем посещении, 2015-05-25, поэтому, похоже, в какой-то момент на вашем сайте размещалось вредоносное ПО, но это уже не так.

    Неясно, на чем была проблематичная страница. Отчет для www.andreszsogon.com/grf-wizard говорит , в /grf-wizard не было обнаружено вредоносных страниц. Итак, вы можете сделать вывод о том, что проблемная страница должна была быть другой страницей в www.andreszsogon.com - но это не было ничем при /grf-wizard. Я пробовал играть в онлайн-интерфейсе Google Safe Browsing, но мне не удалось сузить страницу, на которой ваш сайт был указан в спискеих системы.

ответил D.W. 26 Mayam15 2015, 02:16:19
31

Источник Недавно начал удалять загрузки, заявляя «вирус или шпионское ПО».

  

«Последние два дня некоторые загрузки были удалены, сказав, что сообщение « Заблокировано: может содержать вирус или шпионское ПО »в окне загрузки. "

...

  

Firefox использует данные из проекта Google «Безопасный просмотр» для оценки   репутацию сайтов и загрузок. Каждый так часто меняется Google   например, данные, которые он поставляет, могут быть помечены потенциально   нежелательные программы в дополнение к фактическим вредоносным программам.

     

В будущем разработчики рассматривают возможность переопределения   блок и получить файл в любом случае. Вероятно, это будет, по крайней мере, несколько   за несколько месяцев до этого, потому что чувствительные к безопасности изменения   время для проектирования.

     

Пока, если вы считаете, что эти блоки файлов являются «ложными срабатываниями» и что   файлы на самом деле безопасны, вы можете сделать одно из следующего:

     

(1) Загрузите файл с помощью другого браузера (yikes)

     

(2) Загрузите файл, используя дополнение загрузчика, которое обходит это   проверка безопасности. Я слышал об этом в другом потоке, но не пробовал   он сам (а также, я не знаю, какие надстройки доверять этому!).

     

(3) Временно отключите функцию безопасного просмотра, чтобы получить файл,   затем включите его снова. В диалоговом окне «Параметры» есть флажок:

     

Кнопка меню «3-бар» (или меню «Инструменты»)> Опции> Дополнительно

     

На вкладке «Безопасность» установите флажок «Блокированные сообщения».   Другой флажок относится к фишинговым сайтам, и я не думаю, что это   влияет на скачивание.


Источник Как работает встроенная защита от фишинга и вредоносных программ?

  

Firefox содержит встроенную защиту от фишинга и вредоносных программ, которая поможет вам безопасно работать в Интернете. Эти функции будут предупреждать вас о том, что страница, которую вы посещаете, была сообщена как веб-подделка законного сайта (иногда называемого «фишинговыми страницами») или как сайт атаки, предназначенный для нанесения вреда вашему компьютеру (иначе известный как вредоносное ПО). Эта функция также предупреждает вас, если вы загружаете файлы, обнаруженные как вредоносные программы.

...

  

«Я подтвердил, что мой сайт безопасен, как его удалить из списков?»

     

Если у вас есть сайт, на который был атакован, и с тех пор вы его отремонтировали или   если вы считаете, что ваш сайт был зарегистрирован с ошибкой, вы можете запросить   он будет удален из списков. Мы рекомендуем владельцам сайтов расследовать   любой такой отчет тщательно; сайт часто можно превратить в   сайт атаки без видимых изменений.

     
  • Чтобы запросить удаление из списка зарегистрированных фишинговых сайтов, используйте эту форму , предоставленную Google.
  •   
  • Чтобы запросить удаление из списка зарегистрированных вредоносных сайтов, используйте этот , предоставленный stopbadware.org.
  •   
ответил DavidPostill 25 Maypm15 2015, 19:11:18
18

Мне пришлось прекратить использование UPX с моим собственным программным обеспечением, потому что многие антивирусные сканеры считают использование пакера фактическим доказательством правонарушения. Вы можете попробовать опубликовать распакованную версию своей загрузки и посмотреть, не исчезло ли предупреждение.

ответил Erik Knowles 26 Maypm15 2015, 20:54:04
11

Я сделал источник просмотра на странице, которую вы связали, и, что хорошо, возникает вопрос: вы добавили на свой сайт следующий тег скрипта? Или кто-то сумел прокрасть это в ваш Wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Как я мог бы довольно сильно подозревать, что включение чего-либо из суперфиша заблокировало бы базу данных Безопасного поиска Google. Само собой разумеется, что у суперфиша репутация очень плохая . В конце концов, посмотрите на то, что случилось с Lenovo для включения программного обеспечения суперфишей в свои ноутбуки в конце прошлого года. Они взяли ОГРОМНЫЙ пиар.

Кроме того, поскольку программное обеспечение AV очень часто не может /не найдет много, если вообще есть файлы, содержащие вредоносный php. Я бы настоятельно советовал вручную (ну, с помощью Windows find или * nix grep, в зависимости от того, что может быть для платформы, на которой работает ваш сайт), поиск по всей вашей установке Wordpress для файлов, которые не принадлежат, и ESPECIALLY любые файлы, содержащие php-код, в которых есть eval () и /или base64_decode (), особенно вложенные! Если вы найдете те, которые не являются явно частью системы и ожидаются, то вы должны немедленно начать новую установку wordpress и перенести свой каталог wp-content в нее, при условии, что там нет никаких плохих файлов. В этом случае вам лучше всего начинать работу сайта с нуля. К счастью, это довольно легко с сайта wordpress.

ответил Mce128 26 Mayam15 2015, 08:26:10
7
  

... сжал EXE приложения с помощью UPX-компрессора ...

Назад в день (~ 10 лет назад) UPX обычно использовался вирусами, чтобы сделать их более сложными для обратного проектирования. Фактически, это стало таким образом , что многие антивирусы теперь считают любую упаковку с UPX угрозой по умолчанию. Это почти наверняка ваша проблема.

У вас действительно есть только два варианта:

  • Используйте VirusTotal , чтобы определить, какие сайты считают ваше программное обеспечение вредоносным ПО, и отправьте свою программу в эти компании как ложноположительные.
  • Используйте другой способ сжатия вашего программного обеспечения. Хорошей альтернативой является самораспаковывающиеся исполняемые файлы , которые должны выполнять почти как хорошую работу по сжатию вашего программного обеспечения без подозрительная обфускация.
ответил BlueRaja - Danny Pflughoeft 27 Mayam15 2015, 09:21:06
3

Я запускаю 20-летний веб-сайт энтузиастов программного обеспечения, и я также сталкиваюсь с вашими проблемами. Это сайт, который имел свой расцвет примерно в 2000 году и теперь функционирует как архив. Примерно в три раза каждый год Google Safe Browsing идентифицирует новый фрагмент «вредоносного ПО», который обычно записывается и загружается с 1999 по 2002 год. Неважно, что он всегда был там. Не обращайте внимания на то, что никто не трогал его уже более десятилетия. Сканирование этого файла с помощью virustotal неизбежно показывает, что есть вирус, но он никогда не пользуется популярными программными продуктами для вирусов, такими как Symantec или другими, всегда такими, о которых вы даже не слышали - один раз один из его антивирусных сканеров даже показал, что есть вирус в текстовом файле размером 530 байт.

Так в чем же решение? Учитывая, что Google Safe Browsing является судьей, жюри и палачом, у вас есть 3 варианта:

  1. Удалите файл и сделайте что-нибудь еще с вашей жизнью (рекомендуется для здравого смысла)

  2. Радикально изменить содержимое файла (обычно, если после изменений virustotal не забирает его, вам хорошо идти)

  3. Загрузите файл за именем входа

Лично мне это не сильно понравилось, мне просто грустно, когда мне нужно удалить часть программного обеспечения, которое невозможно найти нигде.

ответил TheRipper 26 Jpm1000000pmTue, 26 Jan 2016 12:00:01 +030016 2016, 12:00:01

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132