Firefox mi ha accusato di distribuire malware sul mio sito

45

Ho notato che Firefox ha deciso di bloccare alcuni programmi di installazione EXE dal mio sito, mostrando un'etichetta Bloccato: può contenere virus o spyware . Faccio clic con il pulsante destro del mouse sul file, seleziono Sblocca e questo messaggio viene visualizzato con le opzioni Sblocca comunque e Mantieni sicurezza :

Il file contiene un virus o altro malware che danneggerà il tuo computer. Puoi cercare una fonte di download alternativa o continuare comunque.

Si noti che la finestra di dialogo non dice può ; dice che danneggerà il tuo computer.

Su quale base viene mostrato questo avviso?

Nessuno sa con certezza quale provider Chrome e Firefox stanno utilizzando per il loro ampio elenco di falsi positivi. Alcuni sostengono che il sito stopbadware.org sia responsabile, ma non ne sono così sicuro.

Si prega di avvisare su come procedere per ripristinare ciò che resta dei miei siti e la reputazione del software in modo immediatamente efficace, prima che sia troppo tardi. Grazie.

Per coloro che chiedono informazioni sul sito e sul software, è questo: http://www.andreszsogon.com/grf-wizard/

Il software è mio. È una semplice GUI per uno strumento da riga di comando; L'ho sviluppato con VB6, ho compresso il file EXE dell'app con il compressore UPX, ho creato il programma di installazione con Inno Setup, quindi l'ho caricato tramite FTP. Ti invito a installarlo, testarlo e scansionarlo tutto quello che vuoi.

google-chrome  firefox  malware 
andreszs
fonte
35
Come fai a sapere se il tuo exe non contiene un virus? Forse il tuo computer ha un virus che ha infettato il compilatore che stai utilizzando e ora il compilatore inserisce i virus in tutti gli ex che cerchi di compilare? In alternativa, se il tuo sito Web non utilizza HTTPS, un uomo nel mezzo (ad esempio il tuo ISP) potrebbe inserire un virus nel tuo exe.
7
Qual è il tuo sito? Hai controllato i file EXE sul tuo sito contro VirusTotal o altre fonti? Come fai a sapere che Firefox è sbagliato?
DW,
4
questa suite di test online antivirus dice che il tuo eseguibile è infetto: metascan-online.com/en/scanresult/file/…
Lesto
25
La tua domanda è molto rant. Questo non è il posto adatto per sfogare le tue frustrazioni. Il processo di identificazione del malware non è deterministico; ci saranno sempre falsi positivi e negativi. Hai una domanda legittima, qui, però; è fondamentalmente "Come funziona l'identificazione del malware e cosa posso fare per un falso positivo?" Saremmo tutti grati se potessi rimuovere il contenuto personale ed emotivo e arrivare a una buona presentazione della vera domanda.
jpmc26,
6
Stai eseguendo wordpress versione 3.8.1 e ritieni che il tuo sito sia sicuro? Consiglio vivamente alcuni aggiornamenti ... sei tutt'altro che sicuro.

Risposte:

76

Prima di essere troppo preso dalla tua rabbia per Firefox e Google Navigazione sicura, il primo passo è capire se Google Navigazione sicura è giusto. Non è raro che i siti distribuiscano file eseguibili che contengono malware o virus, senza rendersi conto che lo stanno facendo. Spesso, Navigazione sicura di Google ha ragione e i manutentori del sito non erano a conoscenza della situazione - a volte il loro sito è stato violato, o a volte qualcuno ha caricato alcuni file infetti da virus senza accorgersene.

Quindi, inizia dando un'occhiata al tuo sito per vedere se alcuni dei tuoi download sono potenzialmente problematici. Puoi iniziare consultando la Guida del webmaster da stopbadware.org e la guida dei webmaster di Google per i siti compromessi . Quindi, ci sono alcuni passaggi generali che dovresti fare:

  1. Controlla se ci sono malware sul tuo sito. Devi esaminare attentamente il tuo sito per verificare se uno qualsiasi dei download di file è pericoloso o contiene virus / malware. Puoi iniziare utilizzando Strumenti per i Webmaster di Google per verificare quali file danneggiati sono stati rilevati da Google. Dovresti anche consultare la pagina di diagnostica dettagliata da Navigazione sicura di Google e esaminare attentamente le pagine e i file specifici ivi elencati. Puoi visualizzare la pagina di diagnostica qui per vedere quali pagine hanno attivato in modo specifico l'elenco. Suggerisco inoltre di caricare su VirusTotal tutti i file EXE che rendi disponibili sul tuo sito e di verificarne la presenza di virus.

  2. Verifica se il tuo sito presenta falle di sicurezza o è stato violato. Spesso, ciò che accade è che gli hacker trovano un sito che presenta alcune falle nella sicurezza, ne compromettono il sito e lo modificano per inserire malware nel sito. Il primo che gli amministratori del sito apprendono di questo è quando vengono elencati su Google Navigazione sicura. Quindi, dovresti controllare attentamente se ti è successo. Ecco alcuni servizi gratuiti che eseguiranno la scansione del tuo sito Web per te:

    Se trovi punti deboli di sicurezza, porta il tuo sito offline e correggili. Se scopri che il tuo sito è stato compromesso, è probabile che dovrai cancellare il sito e ricaricare tutto da un backup noto. Vedi https://www.stopbadware.org/hacked-sites-resources per ulteriori risorse.

  3. Proteggi il tuo sito dall'hacking. Ti suggerisco di rivedere la sicurezza del tuo sito e assicurarti che sia ben protetto contro l'hacking, per impedire a qualcuno di entrare e modificarlo per servire malware. Vedere, ad esempio, https://www.stopbadware.org/prevent-badware-basics per alcuni retroscena. Assicurati anche che il software del tuo sito sia completamente aggiornato.

Quando uso questi strumenti, ecco cosa trovo:

  • Sucuri dice che stai usando una versione obsoleta di WordPress (pre-4.2). Sembra che tu stia eseguendo Wordpress 3.8.1; 4.2.2 è la versione corrente. Questo rende probabile che il tuo sito sia vulnerabile e possa essere compromesso: ci sono più vulnerabilità note in Wordpress 3.8.1. È necessario assicurarsi di eseguire sempre versioni aggiornate del software. Quando non riesci a rimanere aggiornato, crea un'opportunità per gli aggressori di compromettere il tuo sito e utilizzarlo per ospitare malware. Quindi, aggiorna WordPress.

  • Navigazione sicura di Google afferma che il tuo sito ospitava malware quando Google ha visitato il 10-05-2015: "1 pagina (e) ha comportato il download e l'installazione di software dannoso senza il consenso dell'utente". Apparentemente non è stato trovato alcun malware nell'ultima visita, 25/05/2015, quindi sembra che ad un certo punto in passato, il tuo sito ospitasse malware, ma non lo è più.

    Non è chiaro quale fosse la pagina problematica. Il rapporto www.andreszsogon.com/grf-wizard indica che non sono state trovate pagine dannose sotto /grf-wizard. Quindi, puoi dedurre che la pagina problematica deve essere stata sotto un'altra pagina www.andreszsogon.com- ma non era nulla sotto /grf-wizard. Ho provato a giocare con l'interfaccia online di Google Navigazione sicura, ma non sono stato in grado di restringere la pagina in cui il tuo sito veniva elencato nel loro sistema.

DW
fonte
3
Tutti i test vengono eseguiti, Strumenti per i Webmaster controllati. Ricorda che non sono solo il normale utente medio che non sa come installare un AV o aggiornarlo; Sto sviluppando software e app Web da 15 anni. Il sito è sicuro, tutto il software è PULITO.
Che tipo di firme / certificati usati eventualmente autofirmati? Inoltre, quale tipo di compressione è in gioco, alcuni tipi di compressione hanno maggiori probabilità di essere contrassegnati come iffy
78
@Andrew Onestamente, se avessi l'esperienza che affermi di avere, sapresti che una dichiarazione come "Il sito è sicuro" è assolutamente impossibile da fare. Ad esempio: stai eseguendo wordpress, nel corso degli anni ci sono stati innumerevoli exploit zero-day contro le installazioni di wordpress. Inoltre, stai anche pubblicando annunci Google Adsense e sembra che tu stia utilizzando almeno un plug-in Wordpress di terze parti. Tutto considerato, probabilmente stai bene, ma dichiarare che sai che per un dato di fatto è solo un segno che non sai di cosa stai parlando. Ad ogni modo, (cont.)
David Mulder,
21
La navigazione sicura di Google a volte dà falsi positivi davvero strani e nella mia esperienza si risolvono abbastanza rapidamente, quindi buona fortuna con questo. Tutto considerato, il progetto di navigazione sicura di Google mi ha risparmiato più problemi di quanto mi sia costato, ma può essere abbastanza irritante di volta in volta.
David Mulder,
10
@Andrew UPX è il packer più comunemente usato per comprimere malware, quindi se comprimi anche i tuoi download con UPX, farai scattare allarmi.
Michael Hampton,
32

Fonte Recentemente ha iniziato a eliminare i download dichiarando "virus o spyware".

"Negli ultimi due giorni, alcuni download sono stati avviati per essere eliminati dicendo che nella finestra di download è stato visualizzato il messaggio di errore" Bloccato: potrebbe contenere virus o spyware ". "

...

Firefox utilizza i dati del progetto "Navigazione sicura" di Google per valutare la reputazione di siti Web e download. Ogni tanto Google modifica i dati che fornisce, ad esempio, potrebbe segnalare programmi potenzialmente indesiderati oltre al malware effettivo.

Per il futuro, gli sviluppatori stanno prendendo in considerazione un'opzione per sovrascrivere il blocco e ottenere comunque il file. Probabilmente ci vorranno almeno alcuni mesi prima che appaiano perché le modifiche sensibili alla sicurezza richiedono tempo per la progettazione.

Per ora, se ritieni che questi blocchi di file siano "falsi positivi" e che i file siano effettivamente sicuri, puoi effettuare una delle seguenti operazioni:

(1) Scarica il file utilizzando un browser diverso (yikes)

(2) Scarica il file utilizzando un componente aggiuntivo per il download che ignora questo controllo di sicurezza. Ne ho sentito parlare in un altro thread ma non l'ho provato da solo (e inoltre, non so di quali componenti aggiuntivi fidarmi per questo!).

(3) Disabilitare temporaneamente la funzione Navigazione sicura per ottenere il file, quindi riaccenderlo. C'è una casella nella finestra di dialogo Opzioni:

Pulsante menu "3 barre" (o menu Strumenti)> Opzioni> Avanzate

Nella scheda Sicurezza, è la casella di controllo "Blocca siti di attacco segnalati". L'altra casella di controllo riguarda i siti di phishing e non penso che influisca sui download.

Fonte Come funziona la protezione da phishing e malware integrata?

Firefox contiene protezione da phishing e malware integrata per aiutarti a proteggerti online. Queste funzionalità ti avviseranno quando una pagina visitata è stata segnalata come contraffazione Web di un sito legittimo (a volte chiamato pagine di "phishing") o come sito di attacco progettato per danneggiare il tuo computer (altrimenti noto come malware). Questa funzione ti avvisa anche se scarichi file rilevati come malware.

...

"Ho confermato che il mio sito è sicuro, come posso rimuoverlo dagli elenchi?"

Se possiedi un sito che è stato attaccato e da allora lo hai riparato o se ritieni che il tuo sito sia stato segnalato per errore, puoi richiederne la rimozione dagli elenchi. Incoraggiamo tuttavia i proprietari dei siti a indagare a fondo su tali rapporti; un sito può spesso essere trasformato in un sito di attacco senza alcuna modifica visibile.

  • Per richiedere la rimozione dall'elenco dei siti di phishing segnalati, utilizzare questo modulo fornito da Google.
  • Per richiedere la rimozione dall'elenco dei siti di malware segnalati, utilizzare questo , fornito da stopbadware.org.
DavidPostill
fonte
1
Grazie, proverò quei moduli. Si noti che disabilitare il filtro o utilizzare un altro browser (?) Non è una soluzione e non posso forzare i miei utenti a utilizzare questo o quel browser perché accusano erroneamente i miei file che sono perfettamente puliti. L'unica soluzione possibile è che i falsi positivi vengano rimossi dal database del provider.
7
@Andrew, ti consiglio anche di inviare i file a virustotal . Probabilmente scoprirai che alcuni fornitori stanno rilevando i tuoi programmi come malware (firme generiche, probabilmente).
Ángel,
19
@Andrew È un peccato che non solo tu abbia presentato una proposta, ma rifiuti anche di accettare le risposte alla domanda principale al suo interno. Il sito è infine un archivio di conoscenze per altri utenti, non per il tuo help desk personale.
Ho scoperto che GWT sta mostrando questo problema in una sezione separata chiamata "Problemi di sicurezza" e l'URL è etichettato come "malware indeterminato". Ho ricaricato il programma di installazione senza utilizzare UPX per il file EXE principale e ho gentilmente richiesto una recensione per risolvere il problema, grazie.
2
Andrew, se il programma di installazione supera il test malware con UPX rimosso, ricorda di accettare la mia risposta.
19

Ho dovuto interrompere l'uso di UPX con il mio software perché molti scanner di virus considerano l'uso del packer come prova di fatto di illeciti. Potresti provare a pubblicare una versione decompressa del download e vedere se l'avviso scompare.

Erik Knowles
fonte
1
è una risposta? questo dovrebbe essere pubblicato nei commenti.
2
In effetti, Avast rileva UPX.exe come una "minaccia". Ma i file compressi con esso, sono considerati "puliti". Ho caricato un nuovo programma di installazione con EXE non compresso ora, per ogni evenienza.
15
Francisco: Perché dovrei averlo pubblicato come commento? Era chiaramente inteso come una risposta alla domanda del PO.
6
@FranciscoTapia Questa è sicuramente una risposta, e probabilmente quella giusta.
Brad,
1
La buona domanda qui, sebbene completamente fuori tema, è perché usare UPX o qualsiasi altro packer EXE oggi, nel 2015, con velocità di download oggi? Non riesco a malapena a credere che impacchettare gli EXE per ridurne le dimensioni (se non ci sono più argomenti per farlo) potrebbe essere di beneficio a chiunque, specialmente tenendo conto di tutti i problemi (espressi qui in molti punti) che si potrebbero avere quando lo fa.
trejder,
12

Ho creato una fonte di visualizzazione sulla pagina che hai collegato e, bene, che solleva una domanda: sei stato tu ad aggiungere il seguente tag di script al tuo sito? O qualcuno è riuscito a introdurlo nel tuo wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Poiché sospetto piuttosto fortemente che l'inclusione di qualsiasi cosa proveniente da superfish ti bloccherebbe dal database di ricerca sicura di Google. Inutile dire che il superfish ha una pessima reputazione. Dopotutto, guarda cosa è successo a Lenovo per aver incluso il software superfish sui loro notebook verso la fine dello scorso anno. Hanno preso un ENORME colpo di PR.

Inoltre, poiché il software AV molto spesso non è in grado di trovare / non trovare molti file contenenti php dannosi. Vi consiglio caldamente manualmente (bene con Windows trovano o * nix grep a seconda dei casi per la piattaforma tuo sito gira su) la ricerca attraverso l'intera installazione di WordPress per i file che non appartengono e SOPRATTUTTO tutti i file che contengono il codice php che hanno eval () e / o base64_decode (), specialmente nidificati! Se trovi qualcosa che non fa ovviamente parte del sistema e che ti aspetti, allora dovresti immediatamente avviare una nuova installazione di wordpress e spostare la tua directory wp-content al suo interno, a condizione che non ci siano anche file cattivi. In tal caso, sarebbe meglio ricominciare da zero il sito. Fortunatamente è abbastanza facile con un sito wordpress.

Mce128
fonte
15
Questo potrebbe essere proprio questo plugin jQuery di Superfish , che sembra essere casualmente chiamato come tale.
IMSoP,
2
Vale la pena notare, ovviamente, che potrebbe essere semplice come il plugin SuperQuery jQuery sta generando un falso positivo a causa della somiglianza del nome con l'altro Superfish. Se gli umani hanno difficoltà a differenziarli, non è troppo sorprendente che un computer possa avere difficoltà.
aslum,
Grazie per il suggerimento, come hanno affermato altri utenti, che lo script è una semplice parte del wrapper JS del tema Contango. Inoltre, se il problema riguardasse l'installazione di WordPress, sicuramente tutti i file verrebbero bloccati e non solo uno o due.
2
@Andrew Sì, assolutamente, se in realtà fa parte del modello / tema, allora non è un problema in quanto sarebbe quindi a livello di sito. Suppongo che forse avrei dovuto fare un giro nel sito e cercare di vedere se fosse presente su tutte le pagine. Spesso, nella mia esperienza quando questi porcili vengono compromessi, spesso cose strane vengono iniettate in singole pagine. Chiaramente, ho saltato la pistola lì. Principalmente perché non ero a conoscenza del plugin jQuery che condivide il nome con quel software insidioso. Mi chiedevo se forse era un installer rouge o qualcosa del genere se non fossi stato tu ad averlo aggiunto.
1
Tuttavia, suggerisco ancora vivamente di verificare ciò che ho descritto nel mio ultimo paragrafo. Purtroppo, vedo quel genere di cose molto spesso quando ricevo chiamate da clienti che hanno siti wordpress che sono stati compromessi. È un modello piuttosto comune all'interno dei file del sito. In effetti, per la maggior parte del tempo, non trovo nemmeno alcun file di sistema che è stato modificato o solo una piccola manciata con ovunque da qualche brutto file estraneo che gira intorno a letteralmente migliaia! I nomi dei file in questi casi di solito stanno cercando di apparire come parte del sistema o vengono generati nomi incomprensibili.
8

... compresso il file EXE dell'app con compressore UPX ...

~ 10 anni fa, UPX veniva comunemente utilizzato dai virus per renderli più difficili da rilevare e decodificare. In effetti, è diventato così comune che molti antivirus ora considerano qualsiasi programma pieno di UPX una minaccia per impostazione predefinita. Questo è quasi sicuramente il tuo problema.

Hai davvero solo due opzioni:

  • Utilizzare VirusTotal per determinare quali siti credere il software è il malware, e inviare il vostro programma per le aziende come un falso-positivo.
  • Utilizzare un metodo diverso per comprimere il software. Una buona alternativa sono gli eseguibili autoestraenti , che dovrebbero fare un lavoro ancora migliore nel comprimere il software, senza l'offuscamento sospetto.
BlueRaja - Danny Pflughoeft
fonte
1
Grazie, è molto utile. In realtà il mio AV ha rilevato il compressore UPX come una sorta di "minaccia", il che è molto fastidioso. Me ne libererò da tutte le versioni successive.
andreszs,
4

Gestisco un sito Web appassionato di software di 20 anni e riscontro anche problemi. Questo è un sito che ha avuto il suo massimo splendore intorno all'anno 2000 e ora funziona come un archivio. Circa 3 volte all'anno, Google Safe Browsing identifica un nuovo "malware", solitamente scritto e caricato tra il 1999 e il 2002. Non importa che sia sempre stato lì. Non importa che nessuno lo abbia toccato per oltre un decennio. Scansionare questo file con virustotal mostra inevitabilmente che c'è un virus, ma non è mai dai software popolari come Symantec o altri, sempre quelli di cui non hai mai nemmeno sentito parlare - una volta, uno dei suoi scanner di virus ha persino mostrato che c'è un virus su un file di testo da 530 byte.

Quindi qual è la soluzione? Dato che Google Navigazione sicura è il giudice, la giuria e il carnefice, hai 3 opzioni:

  1. Elimina il file e fai qualcos'altro nella tua vita (consigliato per la sanità mentale)

  2. Cambia radicalmente il contenuto del file (di solito, se dopo le modifiche virustotal non lo prende, sei a posto)

  3. Inserisci il download del file dietro un login

Personalmente, non mi importerebbe molto, lo trovo triste quando devo eliminare un software che non si trova davvero da nessun'altra parte.

Lo Squartatore
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.