Firefox звинувачує мене в розповсюдженні зловмисних програм на моєму сайті

Я помітив, що Firefox вирішив заблокувати деяких установців EXE з мого сайту, показавши мітку Blocked: Може містити вірус чи шпигунське програмне забезпечення . Я клацаю правою кнопкою миші на файлі, вибираю Розблокувати , і це повідомлення відображається за допомогою пункту Розблокувати в будь-якому випадку та Захистіть мене :

У файлі міститься вірус або інше шкідливе програмне забезпечення, яке може завдати шкоди вашому комп'ютеру. Ви можете шукати альтернативне джерело завантаження або продовжувати все одно.

Зауважте, що діалогове вікно не говорить про можливе ; він говорить про шкоду вашому комп'ютеру.

На якій підставі відображається це попередження?

Ніхто точно не знає, який постачальник Chrome і Firefox використовує для свого широкого списку помилкових позитивних результатів. Деякі кажуть, що сайт stopbadware.org несе відповідальність, але я не такий впевнений.

Будь ласка, порадьте, як діяти, щоб відновити те, що залишилося від моїх сайтів та репутацію програмного забезпечення, негайно ефективним способом, перш ніж пізно. Дякую.

Для тих, хто запитує про сайт та програмне забезпечення, це: http://www.andreszsogon.com/grf-wizard/

Програмне забезпечення моє. Це простий графічний інтерфейс для інструменту командного рядка; Я розробив його за допомогою VB6, стиснув EXE програми за допомогою компресора UPX, побудував інсталятор за допомогою програми Inno Setup, потім завантажив його через FTP. Запрошую вас встановити його, протестувати і просканувати все, що вам потрібно.

Перш ніж занадто захоплюватися гнівом проти Firefox та Google Safe Browsing, перший крок - з’ясувати, чи правильно Google Safe Browsing. Не рідкість сайти поширювати виконувані файли, що містять зловмисне програмне забезпечення або віруси, не усвідомлюючи, що вони це роблять. Часто безпечний перегляд Google є правильним, і сервіси сайтів просто не знали про ситуацію - іноді їх сайт був зламаний, а іноді хтось завантажив деякі файли, заражені вірусами, не усвідомлюючи це.

Отже, для початку уважно ознайомтесь із вашим сайтом, щоб побачити, чи можливо будь-яке із завантажень проблематичне. Ви можете почати, ознайомившись з довідкою для веб-майстрів з stopbadware.org та довідкою веб-майстрів Google щодо зламаних сайтів . Тоді вам слід зробити кілька загальних кроків:

1. Перевірте, чи є на вашому сайті якісь зловмисні програми. Вам потрібно уважно сканувати свій сайт, щоб перевірити, чи небезпечний будь-який із завантажених файлів чи містять віруси / зловмисне програмне забезпечення. Ви можете почати за допомогою інструментів Google для веб-майстрів, щоб перевірити, які погані файли виявлено Google. Ви також повинні переглянути детальну сторінку діагностики з безпечного перегляду Google і уважно ознайомитися з певними сторінками та файлами, переліченими там. Ви можете переглянути сторінку діагностики тут, щоб побачити, які саме сторінки викликали список. Я також пропоную вам завантажити кожен з EXE, який ви робите доступним на своєму сайті, на VirusTotal і перевірити їх на наявність вірусів.

2. Перевірте, чи є на вашому веб-сайті якісь отвори в безпеці чи зламався. Часто, що трапляється, це те, що хакери знаходять сайт, який має деякі отвори в безпеці, компрометують його і модифікують його, щоб вставити на нього зловмисне програмне забезпечення. Перше про це дізнаються адміністратори сайтів, коли вони потрапляють до списку Google Safe Browsing. Отже, слід уважно перевірити, чи трапилось це з тобою. Ось кілька безкоштовних сервісів, які скануватимуть ваш веб-сайт:

   • Сканування сайту Sucuri
   • Сканування сайту SparkTrust
   • Сканування сайту Redleg
   • Розкрийте сканування сайту Parasites

   Якщо ви виявите недоліки в безпеці, відключіть свій сайт в автономному режимі та виправте їх. Якщо ви виявите, що ваш сайт порушений, швидше за все, вам потрібно буде стерти його і перезавантажити все з відомого хорошого резервного копіювання. Для отримання додаткових ресурсів див. Https://www.stopbadware.org/hacked-sites-resources .

3. Захистіть свій сайт від злому. Я пропоную вам переглянути безпеку свого веб-сайту та переконайтесь, що він добре захищений від злому, щоб не допустити вторгнення когось і змінити його для обслуговування зловмисного програмного забезпечення. Див., Наприклад, https://www.stopbadware.org/prevent-badware-basics для деякої інформації. Також переконайтеся, що програмне забезпечення вашого сайту повністю оновлено.

Коли я використовую ці інструменти, ось що я знаходжу:

• Sucuri каже, що ви використовуєте застарілу версію WordPress (до 4.2). Схоже, у вас працює Wordpress 3.8.1; 4.2.2 - поточна версія. Це робить імовірним, що ваш сайт є вразливим і може бути поставлений під загрозу: у Wordpress 3.8.1 є кілька відомих вразливих місць. Ви повинні обов'язково запускати сучасні версії програмного забезпечення. Якщо ви не можете постійно оновлюватись, це створює можливість для зловмисників скомпрометувати ваш сайт та використовувати його для розміщення зловмисних програм. Отже, оновіть WordPress.

• Google Safe Browsing говорить, що на вашому веб-сайті розміщено зловмисне програмне забезпечення, коли Google відвідував 2015-05-10: "1 сторінка призвела до завантаження та встановлення зловмисного програмного забезпечення без згоди користувача". Очевидно, жодного зловмисного програмного забезпечення не було знайдено під час останнього відвідування 2015-05-25, тому це здається, що в певний момент минулого на вашому веб-сайті розміщено зловмисне програмне забезпечення, але його більше немає.

  Незрозуміло, в чому полягала проблема. У звіті www.andreszsogon.com/grf-wizard наводиться, що під ним не знайдено шкідливих сторінок /grf-wizard. Отже, ви можете зробити висновок, що проблемною сторінкою, напевно, була якась інша сторінка www.andreszsogon.com- але це не було нічого під цим /grf-wizard. Я спробував пограти з інтерфейсом безпечного перегляду Google, але мені не вдалося звузити, яка сторінка призвела до того, що ваш сайт занесений до їх системи.

Джерело Нещодавно почали видаляти завантаження із заявою про "вірус чи шпигунське програмне забезпечення".

"Останні два дні деякі завантаження почали видаляти, сказавши, що " Заблоковано: може містити повідомлення про помилку вірусів чи шпигунських програм "у вікні завантаження. "

...

Firefox використовує дані проекту Google "Безпечний перегляд" для оцінки репутації веб-сайтів та завантажень. Google так часто змінює дані, які вона надає, наприклад, це може позначати потенційно небажані програми на додаток до фактичного зловмисного програмного забезпечення.

На майбутнє розробники розглядають можливість перекрити блок і отримати файл у будь-якому випадку. Це, мабуть, пройде, принаймні, за кілька місяців до того, як це з’явиться, оскільки для дизайну, залежного від безпеки, потрібен час.

Поки, якщо ви вважаєте, що ці файлові блоки є "помилковими" і що файли насправді є безпечними, ви можете зробити одне з наступного:

(1) Завантажте файл за допомогою іншого браузера (виправляється)

(2) Завантажте файл за допомогою додатка для завантаження, який обходить цю перевірку безпеки. Я чув про це в іншій темі, але сам не пробував цього (а також не знаю, яким додаткам довіряти це!).

(3) Вимкніть функцію безпечного перегляду тимчасово, щоб отримати файл, а потім увімкніть його. У діалоговому вікні "Параметри" є прапорець:

Кнопка меню "3-бар" (або меню Інструменти)> Опції> Додатково

На вкладці Безпека це прапорець "Блокувати повідомлення про атаку". Інший прапорець стосується фішингових сайтів, і я не думаю, що це впливає на завантаження.

Джерело Як працює вбудований захист від фішингу та зловмисних програм?

Firefox містить вбудований захист від фішингу та зловмисного програмного забезпечення, щоб забезпечити безпеку в Інтернеті. Ці функції попереджають вас, коли про відвідувану вами сторінку повідомляється як веб-підробка законного сайту (іноді її називають "фішинг" сторінками) або як веб-сайт Attack, призначений завдати шкоди вашому комп'ютеру (інакше відомий як зловмисне програмне забезпечення). Ця функція також попереджає вас, якщо ви завантажуєте файли, виявлені як шкідливі програми.

...

"Я підтвердив, що мій сайт у безпеці, як його видалити зі списків?"

Якщо ви є власником сайту, який зазнав нападу, і ви після цього його відремонтували, або якщо ви вважаєте, що ваш сайт повідомлявся про помилку, ви можете попросити його видалити зі списків. Ми радимо власникам сайтів ретельно вивчити будь-який подібний звіт; сайт часто може бути перетворений на сайт нападу без видимих ​​змін.

• Щоб подати запит на видалення зі списку фішинг-сайтів, про які повідомляється, скористайтеся цією формою, наданою Google.
• Щоб подати запит на видалення зі списку повідомлених програм зловмисного програмного забезпечення, використовуйте цей , наданий stopbadware.org.

Мені довелося припинити використання UPX за допомогою власного програмного забезпечення, оскільки багато вірусних сканерів вважають використання пакувальника фактично свідченням правопорушень. Ви можете спробувати опублікувати розпаковану версію завантаження і побачити, чи не йде попередження.

Я зробив джерело перегляду на пов’язаній вами сторінці, і добре, що викликає питання: чи саме ви додали на свій сайт наступний тег сценарію? Або хтось встиг прокрастися це у ваш wordpress?

<script type='text/javascript' src='http://www.andreszsogon.com/wp-content/themes/contango/lib/js/superfish/superfish-combine.min.js?ver=1.5.9'></script>

Оскільки я досить сильно підозрюю, що включення нічого із суперриби заблокує вашу базу даних безпечного пошуку Google. Цілком зрозуміло, що у суперриби дуже погана репутація. Зрештою, погляньте на те, що сталося з Lenovo щодо включення програмного забезпечення суперриби у свої ноутбуки наприкінці минулого року. Вони скористалися ВЕЛИЧЕЗНИМ піаром.

Крім того, оскільки програмне забезпечення AV дуже часто не може / не знайде багатьох, якщо такі є у всіх файлах, що містять шкідливий php. Я б настійно радив вручну (добре, якщо Windows знайде або * nix grep, залежно від випадку, на якій платформі працює ваш сайт) пошук через всю вашу установку wordpress для файлів, які не належать, і ОСОБЛИВО будь-які файли, що містять php-код, мають у них eval () та / або base64_decode (), особливо вкладені! Якщо ви знайдете будь-які, які, очевидно, не є частиною системи та очікувані, то слід негайно запустити нову установку wordpress і перемістити в неї каталог wp-вмісту, за умови, що там також немає жодних поганих файлів. У такому випадку вам краще за все почати сайт з нуля. На щастя, це дуже легко з веб-сайтом Wordpress.

... стиснув EXE програми за допомогою компресора UPX ...

~ 10 років тому UPX зазвичай використовували віруси, щоб ускладнити їх виявлення та інженеру. Насправді це стало настільки поширеним, що зараз багато антивірусів вважають будь-яку програму, упаковану UPX, замовчуванням загрозою. Це майже напевно ваше питання.

У вас є лише два варіанти:

• Використовуйте VirusTotal, щоб визначити, які сайти вважають, що ваше програмне забезпечення є зловмисним програмним забезпеченням, і подайте програму цим компаніям як помилково-позитивну.
• Для компресії програмного забезпечення використовуйте інший метод. Хорошою альтернативою є саморозпаковування виконуваних файлів , які повинні зробити ще кращу роботу при стисненні програмного забезпечення, без підозрілих обдумувань.

Я запускаю 20-річний веб-сайт для любителів програмного забезпечення, а також стикаюся з вашими проблемами. Це сайт, який розквітнув близько 2000 року і зараз функціонує як архів. Приблизно 3 рази на рік Google Safe Browsing виявляє нову частину "зловмисного програмного забезпечення", яку зазвичай записують і завантажують приблизно з 1999 по 2002 рік. Не забувайте, що її завжди було. Не забувайте, що ніхто її не торкався вже більше десятиліття. Сканування цього файлу вірурустолом неминуче показує, що є вірус, але це ніколи не користується популярними програмними програмами вірусів, як Symantec та іншими, завжди тими, про які ви ніколи навіть не чули - одного разу один з його вірусних сканерів навіть показав, що є вірус. у текстовому файлі 530 байт.

То яке рішення? З огляду на те, що Google Safe Browsing - суддя, присяжні та кати, у вас є 3 варіанти:

1. Видаліть файл і зробіть щось інше зі своїм життям (рекомендується з розумом)

2. Докорінно змінити вміст файлу (як правило, якщо після змін virustotal не підбере його, ви добре піти)

3. Помістіть завантаження файлу за логіном

Особисто я б не переймався цим, мені просто сумно, коли мені доведеться видалити частину програмного забезпечення, яке насправді не можна знайти більше ніде.